Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Problema Firewall Lan to Wan

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Asmo



Registrato: 31/07/12 22:42
Messaggi: 2

MessaggioInviato: Mar Lug 31, 2012 10:49 pm    Oggetto: Problema Firewall Lan to Wan Rispondi citando

Salve, sono nuovo del forum, mi sto imbattendo con zeroshell da ormai un mesetto.

ho cercato già nel forum e sulle documentazioni sul sito zeroshell.net, ma non sono riuscito ancora a capire bene come posso configurare al meglio il firewall per filtrare i pacchetti tcp e udp che partono dalla lan e vanno verso la wan.
Mi spiego meglio, se metto nella Chain: FORWARD come default policy drop e accetto ad esempio che il protocollo tcp 80 la macchina test non naviga.
secondo voi in cosa sbaglio?

Grazie in anticipo.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Ago 01, 2012 7:37 am    Oggetto: Rispondi citando

Come imposti la regola? Ti sei ricordato di inserire quella per far passare le risposte (RELATED,ESTABLISHED)?

Io ho:
1 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 192.168.123.10-192.168.123.199 state RELATED,ESTABLISHED

Quando si sospetta che il problema sia il firewall, conviene creare una regola (da mettere per ultima) che esegua solo l'azione di default ed il logging. Una volta risolti i problemi, la si buò disattivare.
Top
Profilo Invia messaggio privato
Asmo



Registrato: 31/07/12 22:42
Messaggi: 2

MessaggioInviato: Mer Ago 01, 2012 5:00 pm    Oggetto: Rispondi citando

grazie alla tua risposta ho scoperto che ora qualcosa sembra essersi sbloccato impostando (RELATED,ESTABLISHED).

ora ho fatto qualche prova e mi sono trovato in questa situazione.


Chain FORWARD (policy DROP 212 packets, 10744 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:8080
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:80
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:443
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:20
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:21
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:53
0 0 ACCEPT udp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED udp spt:53
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:110
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:123
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:25
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:465
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:995
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:3389
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp spt:5060
0 0 ACCEPT udp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED udp spt:5060
0 0 ACCEPT udp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED udp spts:10000:20000
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp dpt:443
0 0 ACCEPT tcp -- ETH00 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp dpt:8080

La policy di default è impostata su drop, e ora navigo tranquillamente, ma mi sono accorto ad esempio che se vado su https://www.google.it non ci vado con il tutto che la porta 443 in tcp sembra essere correttamente impostata.
allora per scrupolo ho impostato anche la porta 443 sia su spt che dpt perchè ho letto da qualche parte che non era ancora possibile mettere le porte spt e dpt nella stessa regola, ma la navigazione in https non funziona ancora
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Ago 03, 2012 7:37 am    Oggetto: Rispondi citando

Allora, tanto per cominciare ti consiglio di creare una sola regola "wildcard" che permetta tutte le risposte established e related (a meno che tu non abbia motivi molto buoni per non farlo). Altrimenti aumenti inutilmente il carico del firewall e soprattutto vai incontro a problemi.

E per chiarirti certi comportamenti puoi provare ad usare tcpdump per vedere cosa succede ad una connessione al di fuori del firewall... In alternativa, aggiungi come ultima regola un "DROP di tutto, con log" e poi consulta il log. Vedrai la luce Smile

Riassumendo la chain di forward con default su DROP:
- prima regola: tutto il traffico (da chiunque a chiunque, qualsiasi porta, qualsiasi protocollo) ESTABLISHED,RELATED va in ALLOW (nota per Fulvio: non si potrebbe averla di default e disabilitabile solo su richiesta?)
- seguono le regole "normali" che permettono esplicitamente le connessioni a determinati host/servizi
- segue come ultima la regola di drop con log (normalmente disattivata... altra nota per Fulvio: sarebbe utile che anche questa fosse di default come 'log default traffic' o similare così non si rischia di metterne altre dopo)
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it