Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Problemi regole Firewall con Captive Portal attivo

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
MaxLabs



Registrato: 23/08/07 19:47
Messaggi: 5

MessaggioInviato: Mar Set 11, 2007 7:00 pm    Oggetto: Problemi regole Firewall con Captive Portal attivo Rispondi citando

Un saluto a tutti.

Sto provando Zeroshell ed ho avuto la necessità di inserire
delle regole specifiche nel firewall, in modo da personalizzare
il traffico che volevo far passare (semplicemente http e pop3).

Secondo le indicazioni del forum, ho quindi agito
sulla sezione "Forward"; ho preferito, diciamo così,
mettere "Drop" come azione predefinita, in modo da
creare poi le regole che mi servivano (in realtà le ho
poi create su un nuovo chain fatto apposta).
Putroppo, però, con il captive portal attivo, quest'ultimo
va nelle regole iptables automaticamente come ultima
riga, con il risultato di NON controllare più il traffico stesso!
Ho risolto lasciando Drop sul Forward e non mettendo poi
alcuna regola tramite interfaccia web: ho inserito, invece,
un comando di iptables nello script di avvio che mi inserisce
nella riga 2 di iptables (quindi dopo quella del Captive Portal)
una chiamata al mio nuovo chain.
Devo comunque stare attento a non "giochicchiare" troppo
sull'interfaccia web (captive portal e firewall) diversamente
si disallinea tutto, ovvero sparisce il mio inserimento ma,
almeno, non si naviga più (fino al successivo reboot...).

Mi chiedo... è normale che avvenga ciò?

p.s. ho provato a lasciare in Accept il Forward, ma è ancora peggio:
non riesco a gestire correttamente il traffico che voglio, o almeno
il firewall funziona ma il Captive Portal di fatto non lavora più,
ovvero non blocca... (mi riferisco in particolare al traffico pop3
che lo vedo passare anche in sessioni non autenticate, con Accept).
Lasciando in "Drop" almeno questo problema non c'è e se le regole
si allineano all'interfaccia web, al max non naviga più nessuno
(il che è preferibile...)

Spero di essere stato chiaro... scusate la lunghezza della mail,
ma forse era necessaria Smile

Un saluto a tutti ed un ringraziamento a Fulvio, in particolare,
per l'ottimo lavoro svolto!


Ciao,
MaxLabs
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Set 11, 2007 8:40 pm    Oggetto: Rispondi citando

Purtroppo se avessi messo il Captive Portal come prima rule della chain FORWARD ci sarebbe stato il problema complementare, che avrebbe impedito di poter abilitare servizi non autenticati. Peraltro, la scelta di mettere il Captive Portal alla fine è stata motivata anche dal fatto che il problema da te riscontrato è risolvibile nella seguente maniera utilizzando il target RETURN invece di ACCEPT. Prosegui come segue:

1) Lascia la policy di default del FORWARD ad ACCEPT
2) creati una nuova Chain (che io chiamerò "allowed" in seguito);
3) aggiungi in tale chain le rule per far passare il traffico che ti interessa ma con target RETURN invece di ACCEPT;
4) chiudi la chain allowed con una rule con target DROP senza alcuna condizione;
5) aggiungi come prima regola di FORWARD la una rule con target la chain allowed senza condizioni;

Così facendo il traffico destinato e proveniente dalle porte tcp 80 (http) e 110 (pop3) non sarà direttamente in ACCEPT ma passerà al controllo del Captive Portal tramite il target RETURN. Ricordati che dovresti inserire anche il protocollo https sulla porta tcp 443 per far passare http criptato con SSL.

Ti faccio un esempio di come dovrebbero apparire le chain FORWARD e allowed:

Chain FORWARD (policy ACCEPT 526 packets, 342K bytes)
pkts bytes target prot opt in out source destination
748 368K allowed all -- * * 0.0.0.0/0 0.0.0.0/0
690 364K CapPort all -- * * 0.0.0.0/0 0.0.0.0/0

Chain allowed (1 references)
pkts bytes target prot opt in out source destination
264 51225 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
338 307K RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80
53 2703 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
35 2573 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
58 4004 DROP all -- * * 0.0.0.0/0 0.0.0.0/0


Saluti
Fulvio
Top
Profilo Invia messaggio privato
MaxLabs



Registrato: 23/08/07 19:47
Messaggi: 5

MessaggioInviato: Mer Set 12, 2007 7:59 am    Oggetto: Rispondi citando

Bene! Provo ora la soluzione che mi hai descritto,
ma non dovrebbero esserci problemi, credo.

Grazie per la disponibilità, oltre che per il dettaglio
della risposta (e che sarà utilissima anche ad altri!).

Ciao, a dopo!
Massimo
Top
Profilo Invia messaggio privato
MaxLabs



Registrato: 23/08/07 19:47
Messaggi: 5

MessaggioInviato: Mer Set 12, 2007 8:52 am    Oggetto: Rispondi citando

Ok: ho fatto le modifiche che mi hai proposto e va benissimo!

Riassumo qui le regole nel dettaglio:

Chain FORWARD (policy ACCEPT 1392 packets, 1271K bytes)
pkts bytes target prot opt in out source destination
2778 1446K naviga all -- * * 0.0.0.0/0 0.0.0.0/0
2489 1378K CapPort all -- * * 0.0.0.0/0 0.0.0.0/0

Chain naviga (1 references)
pkts bytes target prot opt in out source destination
90 13649 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
119 129K RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443
115 5372 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
125 55398 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

(...sostanzialmente identiche alle tue)

Grazie ancora, Fulvio.

Un saluto a tutti.
Massimo
Top
Profilo Invia messaggio privato
Simoshell



Registrato: 20/09/07 14:18
Messaggi: 51

MessaggioInviato: Mar Giu 30, 2009 11:21 am    Oggetto: Rispondi citando

Incredibile, non funziona più così come è descritto. Se metto come ultima regola drop all non passa + nulla neanche il traffico http. Perchè???

Configurazione: 2 adsl in balance + captive portal
_________________
Grazie a tutti, grazie Fulvio!
Top
Profilo Invia messaggio privato
Simoshell



Registrato: 20/09/07 14:18
Messaggi: 51

MessaggioInviato: Mar Giu 30, 2009 1:55 pm    Oggetto: Rispondi citando

Simoshell ha scritto:
Incredibile, non funziona più così come è descritto. Se metto come ultima regola drop all non passa + nulla neanche il traffico http. Perchè???

Configurazione: 2 adsl in balance + captive portal


RISOLTO

Ho capito perchè: bisogna inserire anche la porta 53 (DNS) con protocollo UDP, il dns è fra i free services del captive portal ma evidentemente non scavalca la chain personale sul firewall.

Rimane il fatto che il p2p non è gestibile, l'applicazione dei filtri L7 è inefficace. Questo poi crea un problemone: se si inserisce la regola DROP ALL alla fine della chain questa di conseguenza blocca anche le connessioni FTP perchè il filtro L7 per l'ftp non funziona, dunque tutte le richieste di ritorno del server ftp (che vengono fatte su una porta alta a caso) vengono bloccate.

Come risolvo???
_________________
Grazie a tutti, grazie Fulvio!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it