Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Configurazione Firewall

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Giovannipani



Registrato: 10/02/15 10:28
Messaggi: 6

MessaggioInviato: Mer Feb 11, 2015 6:40 pm    Oggetto: Configurazione Firewall Rispondi citando

Ciao a tutti

sto mettendo in piedi una macchina con 5 NIC, come da figura



per ora lavoro sulla rete PC, le altre sono sconnesse.
Il balancing fra PPPoE e ADSL funziona correttamente

vorrei fare in modo che sulle reti possano avere accesso solo le porte indicate (80,443,587,25,22,21,993), pertanto ho impostato una regola di questo tipo



purtroppo noto che funziona solo la porta 80, le altre non funzionano.
Dove sbaglio?

grazie mille
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 745

MessaggioInviato: Mer Feb 11, 2015 7:03 pm    Oggetto: Rispondi citando

Solitamente le source port sono random, quindi è meglio non dichiararle nelle regole fw (a meno di condizioni particolari). Non ho capito bene quale sarebbe l'obbiettivo, ma se esempio volessi permettere che dalla ETH02 siano raggiungibili solo web server in http e https 'canonici', dovresti dichiarare input iface ETH02, output -- ( c'è il NB, e volendo si potrebbero fare diverse cose, ora è semplice tanto per capire) proto tcp, dport 80, e un altra regola uguale ma con dport 443, se usi ZS come DNS server per gli host ad esso connessi ok, altrimenti ci vorrebbero anche un paio regole per la UDP 53 e TCP 53.
Ciao
P.S. server anche una regola che permetta il transito dei pacchetti relativi a connessioni già stabilite, metti al primo posto una ACCEPT RELATED, ESTABLISHED senza dichiarare nessuna interfaccia.
Ma per caso hai abilitato il proxy ?
Top
Profilo Invia messaggio privato
Giovannipani



Registrato: 10/02/15 10:28
Messaggi: 6

MessaggioInviato: Gio Feb 12, 2015 10:39 am    Oggetto: Rispondi citando

Ciao Redfive e grazie per la risopsta

vengo da Endian e non ti nascondo che gestire Zeroshell è più ostico, ma si può ottenere qualcosa in più.

L'obiettivo è di fare in modo che su Eth02 (la rete dei PC) sia bloccato tutto il traffico tranne che su porte 80 443 587 25 22 21 993

Non ho capito se per creare queste regole devo stare sulla CHAIN forward oppure devo spostarmi su INPUT oppure OUTPUT

Il dns primario per ora è il server AD che si appoggia ad altro fw, a regime sarà lo stesso ZS

attualmente il proxy è spento. Quando la macchina entrerà in produzione dovrà essere UP, specialmente Dansguardian
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 745

MessaggioInviato: Gio Feb 12, 2015 1:12 pm    Oggetto: Rispondi citando

La chain di input riguarda i pacchetti in ingresso destinati a ZS stesso (come la self-zone cisco). Zs usa dei servizi per se stesso, tipo il DNS, NTP (lato wan come client, ma anche lan come server) ....quindi, lato wan ci saranno dei pacchettio in uscita generati dal firewall stesso, seguiti da pacchetti di ritorno destinati alla macchina.
La chain di forward è relativa ai pacchetti in transito 'attraverso' ZS (il packet switching o forwarding),quei pacchetti che entrano da un interfaccia ed escono da un altra.
Se vuoi permettere il traffico esclusivamente verso certi servizi, crei le regole per permettere il forwarding dalla lan alla wan (poi volendo crei delle regole per il routing interno).
La chain di output, puoi lasciarla come è, è relativa ai pacchetti in uscita generati da ZS stesso.
Questa è come potrebbe essere la tua chain di forward, default policy drop, senza considerare la parte wifi, il routing tra le interfacce delle reti interne , con Captive Portal e proxy off (se il CP o il proxy sono attivi, è meglio agire diversamente per evitare problemi di routing, accounting e di accessi)
Codice:
ACCEPT     all  --  *      *   0.0.0.0/0               0.0.0.0/0          state RELATED,ESTABLISHED
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   0.0.0.0/0          tcp dpt:80
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   0.0.0.0/0          tcp dpt:443
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   0.0.0.0/0          tcp dpt:587
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   0.0.0.0/0          tcp dpt:25
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   0.0.0.0/0          tcp dpt:22
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   0.0.0.0/0          tcp dpt:21
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   0.0.0.0/0          tcp dpt:993
SE il DNS non è ZS ed è in un dominio di broadcats/rete diversa dalla lan, devi permettere di raggiungerlo
Codice:
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   ip.of.dns.serv          tcp dpt:53
ACCEPT     tcp  -- ETH02   *   network.addr.lan/mask   ip.of.dns.serv          udp dpt:53
A grandi linee....
ciao
Top
Profilo Invia messaggio privato
Giovannipani



Registrato: 10/02/15 10:28
Messaggi: 6

MessaggioInviato: Gio Feb 12, 2015 2:58 pm    Oggetto: Rispondi citando

Ottimo Redfive! La configurazione che mi hai suggerito gira alla grande, anche con proxy attivato. La puoi vedere qua



Adesso cortesemente necessito di aprire una porta che dall'esterno mi permetta di connettere l'assistenza ad un dato PC via RDP (porta 3389).
In particolare sull'indirizzo pubblico della ETH00/PPPoE
Mi aiuteresti con la regola di forwarding da applicare?

grazie mille
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Gio Feb 12, 2015 3:36 pm    Oggetto: Rispondi citando

Giovannipani ha scritto:
necessito di aprire una porta che dall'esterno mi permetta di connettere l'assistenza ad un dato PC via RDP (porta 3389).


Forse ti può essere di aiuto questo post dove trovi l'impostazione del firewall nella prima figura alla regola 7 e del virtual server nelle figure successive.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 745

MessaggioInviato: Gio Feb 12, 2015 6:33 pm    Oggetto: Rispondi citando

Non conosco il peso che hai dato alle interfacce del load-balancer, per evitare problemi, se sai per certo che le sessioni RDP avverrano esclusivamente dalla ppp, non sarebbe male creare/aggiungere una regola di balancing, tipo
Codice:
in ETHXX s.ip ip.pc.rdp proto tcp s.port 3389 target gateway pppX

Per la chaindi forward,
Codice:
ACCEPT     tcp  -- pppX   ETHXX  0.0.0.0/0  ip.pc.rdp        tcp dpt:3389

in virtual-server
Codice:
DNAT       tcp  --  pppX  *       0.0.0.0/0            [0.0.0.0/0 | ip.pubb.statico]            tcp dpt:3389 to:ip.pc.rdp:3389

Per la chain di input, se la default-policy è ad ACCEPT, dovresti creare 2 regole (almeno per la pppX, supponendo che l'altra interfaccia wan non sia direttamente esposta ma 'dietro' ad un altro router)
Codice:
ACCEPT     all  --  pppX   *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
DROP       all  --  pppX   *       0.0.0.0/0            0.0.0.0/0

Poi, volendo ....puoi divertirti in tutti i modi con regole per qualsiasi esigenza Smile
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it