Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Firewall... forse bug?
Vai a Precedente  1, 2
 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Mar Set 18, 2012 12:10 pm    Oggetto: Rispondi citando

ormai le stò pensando tutte Smile.
Adesso ricontrollo e vi dico.
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Mar Set 18, 2012 12:35 pm    Oggetto: Rispondi citando

redfive ha scritto:
La config. che ti ho consigliato ( testata e funzionante) , non è esattamente quella che hai postato qui sopra... Wink
la riposto
Codice:
   
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       all  --  ETH01  *      !192.168.1.0/24       0.0.0.0/0            /* drop_wrong_s_ip */

  155 15728 ACCEPT     all  --  ETH03  ETH01   192.168.191.0/28     192.168.1.0/24       /* accept_from_main_net */

  181 97220 ACCEPT     all  --  ETH01  ETH03   192.168.1.0/24       192.168.191.0/28     state RELATED,ESTABLISHED /* accept_ret_pkt_to_main_net */

   15   720 DROP       all  --  ETH01  ETH03   192.168.1.0/24       192.168.191.0/28     /* drop_pkt_to_main_net */

 1273  234K chk_port   all  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            /* check_allowed_protocol */
ovviamente , questa è quella ho usato io , adeguando alla tua config. interfacce ed ip addresses , dovresti ottenere qualcosa di simile
Codice:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       all  --  ETH01  *      !10.0.0.0/8       0.0.0.0/0            /* drop_wrong_s_ip */

  155 15728 ACCEPT     all  --  ETH01  ETH00   192.168.1.0/24     10.0.0.0/8       /* accept_from_main_net */

  181 97220 ACCEPT     all  --  ETH00  ETH01   10.0.0.0/8       192.168.1.0/24     state RELATED,ESTABLISHED /* accept_ret_pkt_to_main_net */

   15   720 DROP       all  --  ETH00  ETH01   10.0.0.0/8       192.168.1.0/24     /* drop_pkt_to_main_net */

 1273  234K chk_port   all  --  ETH00  *       0.0.0.0/0            0.0.0.0/0            /* check_allowed_protocol */
il perchè della prima regola , è spiegato sopra , riporto anche quello
Citazione:
Nella prima regola ,..... , potrebbe anche essere superflua e si potrebbe toglierla, ma facendo dei test, ho visto che ogni tanto arrivano dei pacchetti con source ip address di vodafone ( qualche I(qualcosa) in umts che si è anche associato all AP ) che cercano di "passare" ....non passerebbero comunque , ma almeno gli seghi le gambe subito se non fà parte della tua rete....


Non è che hai problemi con i free clients ?


I free client non hanno impostazioni particolari o meglio... li ho lasciati di default ZS, pigliano la connessione dal dhcp di zs.

Riguardo alla configurazione io utilizzo l'interfaccia web di zs, ma credo che non ci siano problemi su questo punto o si?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mar Set 18, 2012 8:45 pm    Oggetto: Rispondi citando

Nessun Problema per quanto riguarda la GUI , tutte le regole che ho riportato come esempio sono settate via web , a parte i commenti da inserire(non che siano necessari ,eh..) in IPTABLES Parameters
Codice:
-m comment --comment quello_che_vuoi
Comunque , stasera ho ri-testato la configurazione , ed è ok ( se a volte sbagliano anche i migliori , figurati i pasticcioni come me Wink )
Ti chiedevo dei free-clients , perchè avevo notato che con la policy di default a DROP in FORWARD , non navigano ....per risolvere , puoi creare un bind ip-mac al di fuori del pool dhcp relativo all'interfaccia su cui è attivo il cp , es.
cp attivo su ETH01 (10.0.0.1/8 ) pool da 10.0.0.10 a 10.x.x.x ..( a proposito .... cosa ci fai con una /8 ... Shocked ) l'ap potrebbe essre 10.0.0.2 , quindi in Dhcp>>Static IP Entries 1° free client mac aa:bb:cc:11:22:33 /ip 10.0.0.3 , ....nei free-clients specifichi mac-address ed ip address , in FORWARD , inserisci una regola per permettere il "ritorno" dei pacchetti destinati ai free-clients
Codice:
ACCEPT     all  --  ETH00  ETH01   0.0.0.0/0            10.0.0.3          state RELATED,ESTABLISHED
questa è per il primo , credo che si possa anche specificare il range di ip .
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2
Pagina 2 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it