Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

richiesta conferme regole firewall

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Giu 16, 2014 10:35 am    Oggetto: richiesta conferme regole firewall Rispondi citando

ipotesi di configurazione a X schede di rete

ETH0 INTERNET
ETH1 INTERNET

ETH2 INTRANET
ETH3 INTRANET
ETHX INTRANET

nat enebled interface eth0 eth1


chain input ----- regola le richieste fatte sulle eth0 eth1 per l'instradamento verso la intranet

chain forward ---- regola le chiamate fatte sulle schede intranet instradate verso intranet

chain output ---- regola le chiamate intranet instradate verso eth0 eth1



E' corretta la cosa ?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Lun Giu 16, 2014 12:18 pm    Oggetto: Rispondi citando

Le chains di input/output controllano i pacchetti in ingresso/uscita destinati/generati ai/dai processi locali(la macchina stessa) , es. se da Zs , System, Utilities, fai un ping a google.it , l'icmp è generato direttamente da Zs , e torna destinato a lui, stessa cosa quando fai un sync ad un ntp da Zs ...
La chain di forward, controlla i pacchetti che 'attraversano' Zs, (entrano da un interfaccia e sono destinati ad uscire da un altra, vale anche per le interfacce logiche , es. la VPN99). Quale sia la wan e quale sia la lan , stà all'admin deciderlo.
ciao
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Giu 16, 2014 12:44 pm    Oggetto: Rispondi citando

qualcosa non mi quadra.

ho messo come regola che le richieste ricevute dall'ip x.x.x.x porta 53 udp
deve essere droppata

ma continuano a passarmi le richieste dall'indirizzo x.x.x.x
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 524

MessaggioInviato: Lun Giu 16, 2014 12:57 pm    Oggetto: Rispondi citando

anche io pensavo di essere l'unico a non riuscire a far funzionare le regole firewall secondo me c'e qualcosa che non funzia a dovere
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Giu 16, 2014 3:54 pm    Oggetto: Rispondi citando

qualcosa non va, sto provando ad impostare le regole firewall in tutte le maniere possibili, compreso il fatto di droppare tutto e lasciare libero solo un ip specifico della rete.

ma continua a passare tutto il traffico.
sembra quasi che il firewall sia spento o comunque non preso in considerazione.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Lun Giu 16, 2014 6:04 pm    Oggetto: Rispondi citando

Un output di
Codice:
iptables -nvL FORWARD
e
Codice:
iptables -nvL INPUT
?
Ciao
Top
Profilo Invia messaggio privato
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Mar Giu 17, 2014 7:47 am    Oggetto: Rispondi citando

Secondo mia esperienza il firewall funziona bene tranne che per i filtri layer 7.
Io ho impostato così:
1 - CHAIN INPUT
impostato le regole della "Chain INPUT" su ACCEPT senza nessuna regola e di conseguenza tutto quello che entra in Zeroshell è accettato.

2 - CHAIN OUTPUT
impostato le regole della "Chain OUTPUT" su ACCEPT senza nessuna regola e di conseguenza tutto quello che esce da Zeroshell è accettato.

3 - CHAIN FORWARD
impostato le regole della "Chain FORWARD" su DROP e qui impostare le regole desiderate così da regolare il traffico che attraversa Zeroshell.
L'ordine delle regole è molto importante, quelle con ID basso vengono applicate prima di quelle con ID alto.
Se si blocca un client tramite firewall deve essere escluso dal proxy esempio:

2 * * DROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 MAC XXXX state NEW,RELATED,ESTABLISHED tcp dpt:80 /* BLOCCO_PC-017 */ yes

Per quanto riguarda il DNS su porta 53 io l'ho permesso in sola uscita dal server DNS interno vedi:

7 ETH00 * ACCEPT udp opt -- in ETH00 out * 192.168.1.202 -> 0.0.0.0/0 udp dpt:53 /* DNS_OUT */ yes

Importanti sono le ultime due regole:

40 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED /* ACCETTA_TUTTE_CONNESSIONI_GIA_STABILITE */ yes

41 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 /* BLOCCA_TUTTE_LE_CONNESSIONI_NON_SPECIFICATE_PRIMA */ yes

Per commentare le regole occorre digitare nel campo IPTABLES Parameters le stringhe:

Codice:
-m comment --comment COMMENTO_SENZA_SPAZI


Nella speranza di essere stato utile al link seguente http://www.zeroshell.net/forum/viewtopic.php?t=3665&highlight= vedi tutta la mia configurazione.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it