Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

[ Risolto ] Radius e firewall

 
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal
Precedente :: Successivo  
Autore Messaggio
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Lun Feb 14, 2011 9:29 am    Oggetto: [ Risolto ] Radius e firewall Rispondi citando

Ho un access point connesso sulla rete LAN , i client di questo AP si autenticano via WPA Enterprise ( radius ).
Vorrei chiudere col firewall questo AP il più possibile , garantendo il minimo per avere autenticazione radius.
Ho lasciato aperte sulla interfaccia di rete le porte del Radius e la 63 udp/tcp per il DHCP , ma i client non si connettono a meno che non apro tutti i protocolli verso l'interfaccia dove è collegato l' AP.
Qualcuno mi sà dire qual'è il minimo sindacale da aprire sul firewall per far funzionare il tutto ?

Grazie.


L'ultima modifica di xz4xbj il Mar Feb 15, 2011 10:26 am, modificato 1 volta
Top
Profilo Invia messaggio privato
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Lun Feb 14, 2011 10:11 pm    Oggetto: Rispondi citando

.... forse ho risolto ...

Ho creato una rule di input con log realtiva a tutto il traffico , analizzando la log sono riuscito a trappare quello che serve :

Chain input drop di default , l' AP si trova collegato sulla interfaccia ETH01 :

Codice:

ETH01    *    ACCEPT udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 PHYSDEV match --physdev-in ETH01 udp dpt:1812   
ETH01    *    ACCEPT udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 PHYSDEV match --physdev-in ETH01 udp dpt:67   
ETH01    *    ACCEPT udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 PHYSDEV match --physdev-in ETH01 udp dpt:53


UDP 1812 = Richiesta Radius ( al server locale di zeroshell )
UDP 67 = DHCP
UDP 53 = DNS

Condivisione di File e Stampanti:

* Porte UDP 137 e 138

le ho lasciate bloccate in quanto il client non deve vedere nulla della rete , il forward di tutti i pacchetti è infatti solo per la ETH00 che è la wan internet.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 509

MessaggioInviato: Mer Gen 25, 2012 9:35 am    Oggetto: Rispondi citando

Io tapperei la porta 1812 per tutti tranne che per gli AP. Vabbé che se un client non ha la giusta coppia IP/password dal RADIUS non riceve risposta, ma ti potrebbe comunque floodare il log...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it