Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Captive portal....( Risolto )

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Gio Giu 10, 2010 10:03 pm    Oggetto: Captive portal....( Risolto ) Rispondi citando

Ciao a tutti,
dopo circa un anno di test casalinghi con lo ZS,
ho provato ad installarne uno presso la pubblica assistenza dove sono volontario.
hardware alix2d3, sulla eth00( 192.168.0.1/27 ) sono presenti gli host fissi della pubblica assistenza,
sulla eth01 (192.168.1.1/26) sono connessi 3 AP per la connessione wireless dei militi, eth02 collegata al router adsl.
Sulla eth01 è attivo il CP in modalità routed, ma nonostante questo ho notato che alcuni host , dopo aver preso l'IP dal pool della eth01( quella del CP ), generano traffico da e verso internet, in particolare con destination port 143,993 e 1080 TCP , senza effettuare l'autenticazione tramite CP....molto probabilmente sono un paio di ragazze che studiano e non fanno danni,
però vorrei capire se si può fare in modo che chiunque vada su internet prima effettui l'autenticazione.
queste sono le impostazioni della chain di forward del firewall

1 ETH02 * ACCEPT all opt -- in ETH02 out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED yes
2 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 yes
3 ETH01 ETH00 DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 yes
4 ETH01 ETH02 ACCEPT all opt -- in ETH01 out ETH02 0.0.0.0/0 -> 0.0.0.0/0 yes
5 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 yes

Qualche idea ??


L'ultima modifica di redfive il Mar Giu 15, 2010 11:50 am, modificato 1 volta
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Dom Giu 13, 2010 2:27 pm    Oggetto: Rispondi citando

ho installato hotspot shield sul mio pc, ed ho visto che bypassa tranqillamente il captive portal, usando però connessioni sulla porta udp 8042 , mentre gli altri host che lo bypassano sono apple, iphone o ibook, ma usano sessioni tcp .... l'unica cosa che mi viene in mente è di consentire, da firewall, solo sessioni tcp sulla 80 e 443, ma dovrebbe già farlo il captive portal( con reindirizzamento alla pagina di log in ) per gli utenti non ancora autenticati... Sad
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Lun Giu 14, 2010 10:40 am    Oggetto: Rispondi citando

Prova a disattivare tutte le regole della catena di forward che hai elencato e a vedere se il problema si verifica di nuovo. Io ho avuto un problema del genere, poi mi sono accorto che le mie regole di firewall della catena di forward annullavano gli effetti delle regole create per il captive portal.

Ciao
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Lun Giu 14, 2010 1:03 pm    Oggetto: Rispondi citando

Ciao Svenny, grazie per la risposta.
la policy di default per la chain di forward è a drop, quindi se non metto una regola che permette di fare il forward sull'interfaccia dove è attivo il CP,
l'host riesce ad autenticarsi ma poi non esce...l'ultima regola che ho messo in fondo alla chain in realtà è superflua, la uso solo per i log.
ho provato anche, dopo aver visto il tuo problema nell'altro topic a bloccare il forward del dhcp e dns , ma hotspot shield se ne frega e continua a funzionare usando la 8046 udp, potrei bloccare questa porta, ma rimane il problema degli apple che usano 143, 993, 1080 ed un altra che ora non ricordo, ma se bloccassi queste porte , sarebbero chiuse anche dopo l'autenticazione....
come si può creare una regola per essere sicuri che prima dell'autenticazione
siano aperte solo la 80 e 443, ed eventualmente dopo l'autenticazione attenersi alle policy del firewall ??
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Lun Giu 14, 2010 2:41 pm    Oggetto: Rispondi citando

Non saprei come poter creare la regola a te necessaria. Io partirei da un punto fermo: disattiverei tutte le regole della catena di forward e metterei la policy ad ACCEPT. Poi farei il test con hotspot shield: se tale software non riesce a passare, comincerei a costruire il firewall regola su regola, partendo da questo punto fermo.

Ciao
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Mar Giu 15, 2010 9:30 pm    Oggetto: Rispondi citando

come suggerito da svenny,il problema era nelle regole del firewall..dopo aver dato un occhiata
iptables -L -v
...nel forward , in ultima istanza viene esaminata la chain CapPor...

la policy di default per la chain di forward è sempre a drop ,modificato

1 ETH02 * ACCEPT all opt -- in ETH02 out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED yes
2 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 yes
3 ETH01 ETH00 DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 yes
4 ETH01 ETH02 ACCEPT all opt -- in ETH01 out ETH02 0.0.0.0/0 -> 0.0.0.0/0 yes
5 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 yes

con

1 ETH02 * ACCEPT all opt -- in ETH02 out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED yes
2 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 yes
3 ETH01 ETH00 DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 yes

smbra che tutto sia a posto..
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it