Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Configurazioni Firewall

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
taggio



Registrato: 06/05/14 20:55
Messaggi: 87

MessaggioInviato: Gio Gen 29, 2015 9:29 am    Oggetto: Configurazioni Firewall Rispondi citando

Ciao a tutti,
vorrei mettere mano alle regole del fw, di zs
per bloccare tutto all'esclusione della navigazione sulla NIC ETH01 nel mio caso.
ho dato un occhiata a questo post:
http://www.zeroshell.net/forum/viewtopic.php?t=2533
e alla prima modifica mi si è bloccata la zs e ho dovuto reinstallare tutto.
Embarassed Embarassed
appena ho modificato

chain:forward policy:drop

mi sono bloccato completamente la zs e tanti saluti...

ora vorrei bloccare tutte le porte ad eccezione della 80,443, e poche altre.
qualcuno mi può dare una mano?
Grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Gio Gen 29, 2015 12:46 pm    Oggetto: Rispondi citando

Quale è l'interfaccia lan, e quale la wan ? L'indirizzo di rete della lan ? Hai servizi che devono essere raggiungibili dall'esterno, tipo ipcam, nas ? Usi la vpn ?
Se ti capita di 'tagliarti' fuori, senza reinstallare il tutto, puoi collegarti da ssh o da seriale, e dare il comando
Codice:
iptables -I INPUT -j ACCEPT

non è persistente, ma ti permette di accedere alla web ui da qualsiasi interfaccia per 'sistemare', viene rimossa alla prima modifica della chain di input o al reboot.
ciao
Top
Profilo Invia messaggio privato
taggio



Registrato: 06/05/14 20:55
Messaggi: 87

MessaggioInviato: Gio Gen 29, 2015 2:32 pm    Oggetto: Rispondi citando

redfive ha scritto:
Quale è l'interfaccia lan, e quale la wan ? L'indirizzo di rete della lan ? Hai servizi che devono essere raggiungibili dall'esterno, tipo ipcam, nas ? Usi la vpn ?
Se ti capita di 'tagliarti' fuori, senza reinstallare il tutto, puoi collegarti da ssh o da seriale, e dare il comando
Codice:
iptables -I INPUT -j ACCEPT

non è persistente, ma ti permette di accedere alla web ui da qualsiasi interfaccia per 'sistemare', viene rimossa alla prima modifica della chain di input o al reboot.
ciao


Eth0 é la LAN 192.168.1.1
Eth01 é la wan che fa connessione ppoe

il problema è che mi blocca anche la connessione ssh verso la zs.
i servizi che devono essere raggiunti dall'esterno è una vpn host to lan pptp porta 1723.

Grazie,
ciao
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 765

MessaggioInviato: Gio Gen 29, 2015 9:09 pm    Oggetto: Rispondi citando

La vpn pptp, benchè facile a nativa su molti dispositivi, non è tanto 'flessibile' (oltrechè non essere il massimo in fatto di sicurezza).
Zs crea tante ppp (da 10 a xx) quanti sono i client che si connettono, ed assegna gli ip dal pool dhcp dinamicamente, quindi, oltre a non sapere a chi viene assegnato un determinato ip, le interfacce pppXX sono 'dinamiche', quindi non è che si possa avere un controllo su 'chi' può andare 'dove', con le regole del FW.
Una base di partenza, potrebbe essere, chain input (default DROP),
* * ACCEPT, RELATED, ESTABLISHED
ETH00 ACCEPT, NEW, RELATED, ESTABLISHED
ppp0 * ACCEPT, tcp dport 1723

chain forward (default ACCEPT)
* * ACCEPT, RELATED, ESTABLISHED
ETH00 ppp0 ACCEPT, tcp dport 80
ETH00 ppp0 ACCEPT, tcp dport 443
ETH00 ppp0 ACCEPT, udp dport 53
ETH00 * DROP
ppp0 * DROP

La prima regola permette il transito di pacchetti relativi a connessioni già stabilite, la seconda permette il transito a tutto ciò che entra dalla ETH00, ha come interfaccia di uscita la ppp0 e destinazione porta 80 tcp, la terza uguale ma tcp 443, la quarta il dns (nel caso usassi un dns diverso da ZS stesso), la quinta droppa tutto ciò che entra dalla ETH00 e non è stato consentito dalle regole precedenti, l'ultima droppa tutto ciò che entra dalla ppp0 e non è stato consentito dalle regole precedenti
La prima regola, in realtà, permettendo alle connessioni già stabilite di passare, permette anche il traffico dalle pppXX della pptp, perchè per tali interfacce non è stato dichiarato niente, quindi il traffico iniziale è consentito comunque(default policy ACCEPT), il resto del traffico è invece permesso da tale regola, anche per 'risposte' dalla ETH00 verso le pppXX.
Moolto base, ma dovrebbe fare ciò che deve.
Per ssh e web interface, li management lo dichiari dalla pagina iniziale, SETUP.
Se utilizzassi OpenVpn, è possibile decidere quale ip assegnare (in base allo username/CN sul certificato) ai clients, e essere un pò piu' precisi con le regole del firewall.
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it