Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

filtro l7 e firewall

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Lun Nov 09, 2009 6:39 pm    Oggetto: filtro l7 e firewall Rispondi citando

Salve a tutti,
c'e' qualcuno che utilizza con successo il filtri L7?
Questa la mia configurazione ma non funzionano i filtri.
Ho provato a bloccare MSN,SSH,e RDP ma non funziona in nessun caso
Eth00 lan
Eth01 Wan

Catena default INPUT Drop

1 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED
2 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/24 -> 0.0.0.0/0

Catena default Forward Drop

1* * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED

2 ETH00 ETH01 DROP tcp opt -- in ETH00 out ETH01 10.0.0.0/24 -> 0.0.0.0/0 tcp dpt:443

3 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto ssh

4 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto rdp

5 ETH00 * ACCEPT all opt -- in ETH00 out * 10.0.0.0/24 -> 0.0.0.0/0

Catena default Output accept
Grazie
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1559

MessaggioInviato: Mar Nov 10, 2009 10:20 pm    Oggetto: Rispondi citando

Ne fai un uso scorretto. I layer 7 individuano le connessioni quardando al payload che potrebbe interessare anche' piu' pacchetti. Ma tu accetti le connessioni ESTABLISH (Livello TCP/UDP) e cio' e' indipendente dal possibile payload.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Mer Nov 11, 2009 9:23 am    Oggetto: Rispondi citando

Grazie per la risposta,
a questo punto la mia catena di forward diventa da cosi

1* * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED

2 ETH00 ETH01 DROP tcp opt -- in ETH00 out ETH01 10.0.0.0/24 -> 0.0.0.0/0 tcp dpt:443

3 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto ssh

4 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto rdp

5 ETH00 * ACCEPT all opt -- in ETH00 out * 10.0.0.0/24 -> 0.0.0.0/0


A COSI

1 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto ssh

2 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto rdp


3* * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED

4 ETH00 ETH01 DROP tcp opt -- in ETH00 out ETH01 10.0.0.0/24 -> 0.0.0.0/0 tcp dpt:443


5 ETH00 * ACCEPT all opt -- in ETH00 out * 10.0.0.0/24 -> 0.0.0.0/0


mentre il resto rimane uguale catena di Input ed Output?
Grazie
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it