Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Configurazione firewall in bridging mode

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
pronto.bontempi



Registrato: 02/05/07 22:32
Messaggi: 8

MessaggioInviato: Mer Mag 02, 2007 11:30 pm    Oggetto: Configurazione firewall in bridging mode Rispondi citando

Salve a tutti,
dovrei limitare l'utilizzo della rete in un'aula multimediale universitaria.
Le macchine hanno tutte IP pubblico per cui l'idea è di utilizzare il mitico zeroshell (1.0b4) come transparent firewall.
Ho seguito la guida sul QoS e funziona alla grande, tuttavia come consigliato da Fulvio vorrei evitare l'utilizzo dei filtri L7, per cui ho provato a inserire delle policy nel menù firewall ma ho avuto dei problemi.

Supponiamo per esempio di voler permettere il transito solo ai pacchetti TCP destinati alla porta 80; qui di seguito la mia configurazione (ovviamente da qualche parte è sbagliata):

1) avvio da CD (quindi tutte le impostazioni di default);
2) creo da console il bridge su eth0;
3) aggiungo (via web) eth1 al bridge; (a questo punto i client navigano senza problemi)
4) vado su "Firewall", chain "Forward", aggiungo le regole:
* * ACCEPT tcp opt -- in * out * x.y.z.0/24 -> 0.0.0.0/24 tcp dpt:80
* * DROP all opt -- in * out * x.y.z.0/24 -> 0.0.0.0/24

5) salvo;


Bene, a questo punto succede che transita qualsiasi tipo di traffico.
Dov'è l'errore?
Vi ringrazio per il tempo perso.


P.s. Inizialmente l'idea era di integrare zeroshell con Active Directory per evitare che qualche utente acceda con il proprio portatile senza autenticarsi; ho provato a creare una relazione di trust fra zeroshell e il server come consigliato in diversi forum ma non sono riuscito a farli comunicare; la mancanza di documentazione e di tempo per sperimentare mi ha fatto abbandonare questa parte del progetto che comunque trovo molto interessante.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Giu 06, 2007 5:07 pm    Oggetto: Rispondi citando

La regola con cui fai il DROP non farà mai il match di alcun pacchetto. Infatti, tu specifichi come Destination IP la subnet 0.0.0.0/24 che significa che gli IP di tale ipotetica sottorete devono avere i primi 24 bit tutti a 0. Ciò ovviamente non ha senso. Lascia vuoto il campo Destination IP che equivale a settare 0.0.0.0/0 che significa che 0 bit sono vincolati e quindi qualsiasi IP di destinazione fa il match. Potresti anche, più semplicemente, impostare la Default Policy a DROP.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
pronto.bontempi



Registrato: 02/05/07 22:32
Messaggi: 8

MessaggioInviato: Gio Giu 07, 2007 5:06 pm    Oggetto: Grazie Rispondi citando

Grazie Fulvio,
un'ultima cosa: se mi potessi dare qualche dritta (a grandi linee) su come procedere per configurare il captive portal con autenticazione su Active Directory (del tipo se è necessario una cross authentication, ecc...), te ne sarei grato.
Se riuscirò a configurarlo correttamente, documenterò tutto nel dettaglio!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Giu 07, 2007 10:34 pm    Oggetto: Rispondi citando

Non è strettamente necessaria una cross-authentication. Puoi infatti semplicemente aggiungere il REALM Active Directory come dominio esterno nella sezione [Captive Portal]->[Authentication].
Purtroppo la versione 1.0.beta4 riesce a determinare i KDC Kerberos v5 autoritari per un dato REAM solamente utilizzando il DNS. Per questo ti devi assicurare che Zeroshell riesca a risolvere i nomi del tuo dominio Active Directory. Al momento ciò lo puoi ottenere soltanto facendo in modo che il DNS di Zeroshell contatti quello di Active Directory passando per i root DNS. Se non fosse possibile, per esempio perché il tuo dominio non è registrato allora devi creare all'interno del DNS di ZeroShell una delega (NS) verso quello di Active Directory. Altra soluzione può essere quella di creare soltanto un record service locator (SRV) nel dns di Zeroshell del tipo:

_kerberos._udp.win.example.com. 0 0 88 winserver.win.example.com.

winserver.win.example.com. A 192.168.0.15

supponendo che winserver.win.example.com. sia uno dei domain controller.

Tuttavia se aspetti la 1.0.beta5 le cose sono molto più semplici perché puoi specificare nella configurazione di Kerberos quale è il KDC per il dominio AD e quindi non preoccuparti della configurazione dei DNS.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it