Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

blocco navigazione ip

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Dom Gen 02, 2011 6:56 pm    Oggetto: blocco navigazione ip Rispondi citando

Ciao,
sapreste consigliarmi il modo piú veloce per bloccare la navigazione di alcuni pc in una piccola rete?
Lo posso fare tramite il firewall e blocare gli indirizzi ip che non devono navigare ma se uso una regola solo per la porta 80 tcp non riesco a bloccare la navigazione, allora ho bloccato tutto il traffico che va dalla eth0 alla eth1 e quindi ottengo che le macchine rimangono bloccate e possono interrogare solo la rete interna.

Sapete consigliarmi la giusta regola per bloccare solo i browser e quindi solo la porta 80?

Nella rete non uso il proxy e vi é un server di posta interno quindi potrei rimanere anche in questa condizione ma vorrei migliorare le regole del firewall.

Grazie
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Dom Gen 02, 2011 7:03 pm    Oggetto: regole firewall Rispondi citando

Chain FORWARD (policy ACCEPT 161 packets, 54322 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- ETH00 ETH01 192.168.76.53 0.0.0.0/0 tcp spt:80 dpt:80 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/001'
0 0 DROP tcp -- ETH00 ETH01 192.168.76.53 0.0.0.0/0 tcp spt:80 dpt:80
0 0 DROP udp -- ETH00 ETH01 192.168.76.53 0.0.0.0/0 udp spt:80 dpt:80
0 0 ACCEPT all -- ETH01 ETH00 0.0.0.0 192.168.76.89
0 0 ACCEPT all -- ETH00 ETH01 192.168.76.89 0.0.0.0
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Dom Gen 02, 2011 8:13 pm    Oggetto: Rispondi citando

per droppare tutto il traffico che non è destinato alla rete connessa all' interfaccia ETH01 , se non utilizzi il proxy è sufficiente una regola tipo
Codice:

18   936 LOG        all  --  ETH00  ETH01   192.168.194.0/28    !192.168.191.0/28    limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/001'
18   936 DROP       all  --  ETH00  ETH01   192.168.194.0/28    !192.168.191.0/28   


nell'esempio sopra, all'interfaccia ETH00 è connessa la rete 192.168.194.0/28, mentre all'interfaccia ETH01 è connessa la rete 192.168.191.0/28 .
ciao
jonatha
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Lun Gen 03, 2011 9:52 am    Oggetto: Rispondi citando

Grazie della tua risposta, cosí potrebbe essere una soluzione.
E per droppare solo la navigazione internet?
Di modo da poter rendere utilizzabile le porte 110 e 25 della posta elettronica?

andrea
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Gen 03, 2011 1:14 pm    Oggetto: Rispondi citando

Codice:

10  1781 LOG        tcp  --  ETH00  ETH01   192.168.194.0/28     0.0.0.0/0           tcp dpt:25 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/001'
10  1781 ACCEPT     tcp  --  ETH00  ETH03   192.168.194.0/28     0.0.0.0/0           tcp dpt:25
16   788 LOG        tcp  --  ETH00  ETH01   192.168.194.0/28     0.0.0.0/0           tcp dpt:110 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/002'
24  1164 ACCEPT     tcp  --  ETH00  ETH01   192.168.194.0/28     0.0.0.0/0           tcp dpt:110


è abbastanza generico ( la tua policy di default per la chain di forward è ad accept e non usi il proxy ), se metti prima queste 2 regole e come terza quella dell'altro post , dovresti permettere il traffico relativo ai servizi di posta ,
e droppare il tutto il resto in uscita verso reti remote , ad eccezione di quella direttamente connessa all'ETH01 dello ZS . Al posto dell'indirizzo di rete , puoi specificare quello degli hosts , o giocando con i numeri , ( e srivere meno regole !! ) crei gruppi di host contigui a cui permetti/neghi ciò che vuoi.
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Lun Gen 03, 2011 2:03 pm    Oggetto: Rispondi citando

grazie , sei stato gentilissimo, proveró con il tuo consiglio.

Andrea
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it