Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

ATTENZIONE al Proxy ARP

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
pronto.bontempi



Registrato: 02/05/07 22:32
Messaggi: 8

MessaggioInviato: Gio Ott 23, 2008 7:12 pm    Oggetto: ATTENZIONE al Proxy ARP Rispondi citando

Salve a tutti,
uso Zeroshell in produzione da oltre un anno e solo oggi mi sono accorto di questo problema, che vorrei condividere con voi.
Ho un PC con Zeroshell 1.0.b11, e due NIC installati; lo utilizzo per proteggere un piccolo laboratorio di una università.

Ora descrivo la configurazione minima di Zeroshell che mi permette l'osservazione del problema:
- ETH00 è connessa fisicamente allo switch del piccolo ufficio che voglio proteggere;
- ETH01 è connessa alla rete da cui mi voglio proteggere;
- ETH00 ha un solo IP (192.168.0.1 / 24);
- ETH01 ha un solo IP (10.0.0.10 / 24) attraverso il quale è in grado di raggiungere l'unico gateway (10.0.0.1) che consente l'accesso alla WAN;
- è abilitato il NAT su ETH01;
- è configurato il default gateway (10.0.0.1);
- le policies del firewall sono quelle di default;
- tutti i PC del piccolo laboratorio hanno IP statico e navigano bene.

Ora il problema
Nella rete da cui mi voglio proteggere c'è un tizio, Arturo, che ha la possibilità di modificare le impostazioni di rete della propria macchina;
la configurazione originaria del PC di Arturo è la seguente: IP "10.0.0.20 / 24" - default gateway "10.0.0.1".
Arturo finora ha sempre comunicato correttamente verso qualsiasi IP esterno alla rete protetta dal mio Zeroshell; i destinatari del traffico che egli genera "vedono" come mittente l'IP di Arturo (10.0.0.20).
Ora se Arturo cambia il suo gateway in "192.168.0.1" (l'ETH00 di Zeroshell) RIESCE A NAVIGARE UGUALMENTE, stavolta i destinatari del traffico che genera vedono come mittente l'IP 10.0.0.10, cioè quello dell'interfaccia "esterna" (ETH01) di Zeroshell.

NOTE:
1) ETH00 e ETH01 NON sono in bridge e non sono connesse allo stesso dominio di broadcast;
2) Arturo naviga anche se scollego fisicamente il cavo da ETH00;
3) qui sopra ho semplificato il problema, ma nella realtà la configurazione di Zeroshell è più complessa, ci sono delle VPN LAN2LAN messe in NAT e anche quelle sono raggiungibili da Arturo;
4) non so se si può disabilitare il proxy arp da webgui (forse Fulvio ce lo può dire) ma nel frattempo, per evitare che Arturo utilizzi il mio Zeroshell come gateway ho inserito le seguenti entries nella chain di forward:
DROP all opt -- in ETH01 out VPN00 0.0.0.0/0 -> 0.0.0.0/0
DROP all opt -- in ETH01 out ETH01 0.0.0.0/0 -> 0.0.0.0/0

Sono graditi suggerimenti e commenti (e anche insulti) Laughing
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Ott 25, 2008 1:00 pm    Oggetto: Rispondi citando

Vedi il post http://www.zeroshell.net/forum/viewtopic.php?p=4182#4182

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it