Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

NDPI: non funziona con HTTP/SSL

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Lun Mag 15, 2017 11:02 pm    Oggetto: NDPI: non funziona con HTTP/SSL Rispondi citando

Salve,
ho aggiornato all'ultima versione zeroshell 3.7.1 installando pure la versione 64 bit sebbene non attivandola.
Creo la regola, utilizzo HTTP ed SSL in NDPI e non va.... come se il dns non risolvesse i nomi.
Se invece utilizzo SIP RTP e RTCP funziona
Mi basta togliere NdPI e tutto funziona.
Ho provato ad inserire anche tutte le altre voci in NDPI relative ad HTTP e SSL ... per qualche minuto ha funzionato ma poi nulla.
E' capitato anche a voi ?
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Mar Mag 16, 2017 11:09 am    Oggetto: Rispondi citando

che versione di kernel hai?

Fulvio ha rilasciato nei reposity la 4.9.27 funzionante sia su sistemi a 32 che a 64 bit

see you
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Mar Mag 16, 2017 12:13 pm    Oggetto: Rispondi citando

tiger ha scritto:
che versione di kernel hai?

Fulvio ha rilasciato nei reposity la 4.9.27 funzionante sia su sistemi a 32 che a 64 bit

see you


Innanzitutto grazie per l'interessamento ma è proprio questa la versione che ho installato. Attualmente uso quella 32 bit ed ho riscontrato che nonostante la regola consenta il traffico HTTP nonché SSL riscontro dei destroy nei log alla porta UDP 53
La regola è alquanto semplice ovvero IP 10.0.13. 17 ha come destinazione un campo vuoto quindi tutti gli IP address specificando in NdPI i citati protocolli HTTP e SSL (4 tipologie diverse per il primo e 2 per il secondo)

Ho un'altra regola dove ci si collega via browser ad un determinato IP senza specificare alcun protocollo e tutto funziona correttamente
Così come la regola che consente a determinati e numerosi IP address di collegarsi ad un server vicidial sfruttando il protocollo SIP nonché RTP, funziona senza alcun problema
Per completezza e chiarezza sperando di non incasinare questo è il quarto firewall che metto in esercizio eppure ho dovuto specificare nel DNS foreworders i dns Vodafone e Google altrimenti non mi scaricava la package list nonché le news zeroshell in Setup

Utilizzo anche http proxy e l'indirizzo 10.0.3. 17 è nello Stato not capture
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Dom Mag 21, 2017 4:51 pm    Oggetto: Rispondi citando

Mi scuso per l'insistenza ma poichè non leggo post simili ovvero di mancato malfunzionamento, comprendo che forse il problema è solo mio.
Ho cancellato le regole, ho effettuato reboot accertandomi che parta l'ultima versione a 32 bit.
Utilizzo NdPI per HTTP e SSL mettendo un DROP per quanto non gestito...
Non nascondo che per qualche minuto ha funzionato, poi nulla, non funziona. Si bloccano le richieste

Ho eliminato NdPI dalle regole, ho messo regola in uscita con DPORT = 80 nonchè 443 e tutto funziona

Mah ...
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Dom Mag 21, 2017 8:47 pm    Oggetto: Rispondi citando

Scusami ma con il drop Nepi di http/dal che vuoi bloccare tutto il traffico rete non capisco

Spiegami bene cosa vuoi fare.
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Dom Mag 21, 2017 9:02 pm    Oggetto: Rispondi citando

tiger ha scritto:
Scusami ma con il drop Nepi di http/dal che vuoi bloccare tutto il traffico rete non capisco

Spiegami bene cosa vuoi fare.


POLICY FORWARD = DROP
Voglio abilitare il traffico da 10.0.13.16/28 verso tutti (dunque non preciso nulla ) inserendo in NdPI i protocolli HTTP ed SSL.
Direi semplice ma non funziona, il traffico WEB a 10.0.13.17 non va in uscita verso Internet.
In realtà, dopo aver salvato, riesco pure a navigare quasi per qualche minuto, poi nulla, si blocca tutto (*** vedi esyttratto log sottostante ***)
********
Ho dunque poi creata regola da 10.0.13.16/28 verso tutti precisando TCP 80 e funziona senza alcun problema.
******
Naturalmente se metto POLICY FORWARD = ACCEPT, funziona
********************

Citazione:
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=85.222.129.16 sport=54915 dport=443 packets=26 bytes=6303 src=85.222.129.16 dst=192.168.13.2 sport=443 dport=54915 packets=39 bytes=25601 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.5 sport=58094 dport=80 packets=6 bytes=265 src=10.0.4.5 dst=10.0.13.17 sport=80 dport=58094 packets=3 bytes=144 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.3 sport=57945 dport=80 packets=6 bytes=265 src=10.0.4.3 dst=10.0.13.17 sport=80 dport=57945 packets=3 bytes=144 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.3 sport=58087 dport=80 packets=51 bytes=19349 src=10.0.4.3 dst=10.0.13.17 sport=80 dport=58087 packets=85 bytes=96171 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=66.235.148.136 sport=53282 dport=443 packets=9 bytes=714 src=66.235.148.136 dst=192.168.13.2 sport=443 dport=53282 packets=11 bytes=4541 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=85.222.129.16 sport=54919 dport=443 packets=123 bytes=19949 src=85.222.129.16 dst=192.168.13.2 sport=443 dport=54919 packets=232 bytes=246766 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=192.230.83.100 sport=53289 dport=443 packets=190 bytes=20084 src=192.230.83.100 dst=192.168.13.2 sport=443 dport=53289 packets=287 bytes=306771 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=68.232.35.180 sport=53290 dport=443 packets=18 bytes=1679 src=68.232.35.180 dst=192.168.13.2 sport=443 dport=53290 packets=16 bytes=6304 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=85.222.129.16 sport=54917 dport=443 packets=101 bytes=14993 src=85.222.129.16 dst=192.168.13.2 sport=443 dport=54917 packets=169 bytes=206980 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=83.224.68.44 sport=57737 dport=443 packets=36 bytes=3699 src=83.224.68.44 dst=192.168.13.2 sport=443 dport=57737 packets=50 bytes=31858 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=85.222.128.40 sport=54912 dport=443 packets=15 bytes=2485 src=85.222.128.40 dst=192.168.13.2 sport=443 dport=54912 packets=15 bytes=5203 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=216.58.205.162 sport=53291 dport=443 packets=16 bytes=2179 src=216.58.205.162 dst=192.168.13.2 sport=443 dport=53291 packets=16 bytes=6584 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.3 sport=57948 dport=80 packets=6 bytes=265 src=10.0.4.3 dst=10.0.13.17 sport=80 dport=57948 packets=3 bytes=144 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=216.58.205.205 sport=57738 dport=443 packets=380 bytes=20351 src=216.58.205.205 dst=192.168.13.2 sport=443 dport=57738 packets=768 bytes=1099021 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=83.224.68.29 sport=53344 dport=443 packets=32 bytes=3116 src=83.224.68.29 dst=192.168.13.2 sport=443 dport=53344 packets=35 bytes=10126 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=85.222.129.16 sport=54914 dport=443 packets=166 bytes=17554 src=85.222.129.16 dst=192.168.13.2 sport=443 dport=54914 packets=319 bytes=388174 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=85.222.129.16 sport=54916 dport=443 packets=26 bytes=7991 src=85.222.129.16 dst=192.168.13.2 sport=443 dport=54916 packets=38 bytes=24452 [ASSURED]
21:59:14 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=50218 dport=53 packets=1 bytes=64 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=50218 packets=1 bytes=530
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=216.58.205.69 sport=54924 dport=443 packets=22 bytes=2159 src=216.58.205.69 dst=192.168.13.2 sport=443 dport=54924 packets=24 bytes=6220 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=83.224.68.44 sport=53280 dport=443 packets=31 bytes=3470 src=83.224.68.44 dst=192.168.13.2 sport=443 dport=53280 packets=36 bytes=12914 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.5 sport=58098 dport=80 packets=6 bytes=265 src=10.0.4.5 dst=10.0.13.17 sport=80 dport=58098 packets=3 bytes=144 [ASSURED]
21:59:14 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.4.3 sport=11038 dport=5060 packets=865 bytes=226429 src=10.0.4.3 dst=10.0.13.17 sport=5060 dport=11038 packets=389 bytes=228647 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=83.224.68.39 sport=64075 dport=443 packets=22 bytes=1980 src=83.224.68.39 dst=192.168.13.2 sport=443 dport=64075 packets=25 bytes=11914 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.5 sport=58099 dport=80 packets=6 bytes=265 src=10.0.4.5 dst=10.0.13.17 sport=80 dport=58099 packets=3 bytes=144 [ASSURED]
21:59:14 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=53803 dport=53 packets=1 bytes=63 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=53803 packets=1 bytes=365
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=66.235.148.136 sport=53284 dport=443 packets=9 bytes=714 src=66.235.148.136 dst=192.168.13.2 sport=443 dport=53284 packets=9 bytes=4461 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=23.41.16.217 sport=54922 dport=443 packets=217 bytes=10261 src=23.41.16.217 dst=192.168.13.2 sport=443 dport=54922 packets=344 bytes=688819 [ASSURED]
21:59:14 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=64900 dport=53 packets=1 bytes=63 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=64900 packets=1 bytes=365
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.3 sport=57947 dport=80 packets=6 bytes=265 src=10.0.4.3 dst=10.0.13.17 sport=80 dport=57947 packets=3 bytes=144 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.13.1 sport=49761 dport=53 packets=5 bytes=252 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=49761 packets=4 bytes=956 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=52.28.127.167 sport=53292 dport=443 packets=15 bytes=1695 src=52.28.127.167 dst=192.168.13.2 sport=443 dport=53292 packets=14 bytes=6875 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=10.0.4.5 sport=58095 dport=80 packets=12 bytes=2486 src=10.0.4.5 dst=10.0.13.17 sport=80 dport=58095 packets=17 bytes=11559 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=192.168.253.2 dst=10.0.13.17 sport=31413 dport=3389 packets=3127 bytes=218032 src=10.0.13.17 dst=192.168.253.2 sport=3389 dport=31413 packets=1970 bytes=6183307 [ASSURED]
21:59:14 [DESTROY] tcp 6 src=10.0.13.17 dst=216.58.204.136 sport=64076 dport=443 packets=23 bytes=2966 src=216.58.204.136 dst=192.168.13.2 sport=443 dport=64076 packets=25 bytes=6062 [ASSURED]
21:59:21 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.4.3 sport=11038 dport=5060 [UNREPLIED] src=10.0.4.3 dst=10.0.13.17 sport=5060 dport=11038
21:59:36 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=57424 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=57424
21:59:36 [NEW] tcp 6 120 SYN_SENT src=10.0.13.17 dst=10.0.13.1 sport=56506 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=56506
21:59:39 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=60695 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=60695
21:59:46 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=53432 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=53432
22:00:06 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=52663 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=52663
22:00:06 [NEW] tcp 6 120 SYN_SENT src=10.0.13.17 dst=10.0.13.1 sport=51007 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=51007
22:00:09 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=57424 dport=53 packets=1 bytes=65 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=57424 packets=1 bytes=537
22:00:10 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=60695 dport=53 packets=1 bytes=63 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=60695 packets=1 bytes=365
22:00:11 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=50446 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=50446
22:00:18 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=53432 dport=53 packets=1 bytes=62 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=53432 packets=1 bytes=538
22:00:30 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=57845 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=57845
22:00:31 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=53355 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=53355
22:00:36 [NEW] udp 17 30 src=10.0.13.17 dst=10.0.13.1 sport=52802 dport=53 [UNREPLIED] src=10.0.13.1 dst=10.0.13.17 sport=53 dport=52802
22:00:38 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=52663 dport=53 packets=1 bytes=69 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=52663 packets=1 bytes=536
22:00:45 [DESTROY] udp 17 src=10.0.13.17 dst=10.0.13.1 sport=50446 dport=53 packets=1 bytes=62 src=10.0.13.1 dst=10.0.13.17 sport=53 dport=50446 packets=1 bytes=538
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Dom Mag 21, 2017 9:12 pm    Oggetto: Rispondi citando

Hai provato a mettere ip .17 nello stato capture?

Perché metti in drop gli indirizzi?

Blocchi cosa io non riesco a capire


Parli di http ed ssl ma tu perché vuoi usare ndpi per fare cosa di preciso o forse a me sfugge qlc ma le regole drop bloccano. Nn so che vuoi fare con ip .17 finale di preciso. Blocca la porta 53 c'è qlc che nn va nei DNS

Se hai Vodafone controlla che nel router che non siano abilitati le voci DNS sicuri.
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Dom Mag 21, 2017 9:31 pm    Oggetto: Rispondi citando

tiger ha scritto:
Hai provato a mettere ip .17 nello stato capture?

Perché metti in drop gli indirizzi?

Blocchi cosa io non riesco a capire


Parli di http ed ssl ma tu perché vuoi usare ndpi per fare cosa di preciso o forse a me sfugge qlc ma le regole drop bloccano. Nn so che vuoi fare con ip .17 finale di preciso. Blocca la porta 53 c'è qlc che nn va nei DNS

Se hai Vodafone controlla che nel router che non siano abilitati le voci DNS sicuri.


Sei gentilissimo nel volermi dare una mano.
Citazione:
Hai provato a mettere ip .17 nello stato capture?
NO, non uso HTTP PROXY
Citazione:
Perché metti in drop gli indirizzi?
Ciò che non autorizzo, deve essere bloccato
Citazione:
Parli di http ed ssl ma tu perché vuoi usare ndpi per fare cosa di preciso o forse a me sfugge qlc ma le regole drop bloccano. Nn so che vuoi fare con ip .17 finale di preciso.
PErchè invece di mettere porta TCP 80, voglio far gestire e controllare il traffico HTTP nonchè SSL al firewall tramite appunto la funzionalità NdPI
Citazione:
Blocca la porta 53 c'è qlc che nn va nei DNS

Se hai Vodafone controlla che nel router che non siano abilitati le voci DNS sicuri.
SI, ho Vodafone Station e ho disattivato DNS Sicuri .... purtroppo non ho capito cosa non va nel DNS però è solo quando ho la regola con NdPI = http ed ssl perchè se invece metto l'altra regola, quella con TCP 80, tutto funziona
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Dom Mag 21, 2017 10:11 pm    Oggetto: Rispondi citando

Secondo me il DNS crea problemi ma non ho capito come ovviare e soprattutto averne certezza ... mah !!!!!
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 105

MessaggioInviato: Lun Mag 22, 2017 2:50 pm    Oggetto: Rispondi citando

merope ha scritto:
Secondo me il DNS crea problemi ma non ho capito come ovviare e soprattutto averne certezza ... mah !!!!!


Forse non ho capito io....

ma se tu blocchi tutto il traffico tranne web e ssl.... i pc nella rete come fanno a risolvere i nomi dns?

(discussione interessante...)
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Mer Mag 24, 2017 9:33 pm    Oggetto: Rispondi citando

wind ha scritto:
merope ha scritto:
Secondo me il DNS crea problemi ma non ho capito come ovviare e soprattutto averne certezza ... mah !!!!!


Forse non ho capito io....

ma se tu blocchi tutto il traffico tranne web e ssl.... i pc nella rete come fanno a risolvere i nomi dns?

(discussione interessante...)


Grazie per il tuo intervento
Il DNS è abilitato di default ma per esserne certo ho creato anche regola che abilita tutto il traffico, ovunque, sulla porta UDP 53
Eppure non va ..... da ammattirsi
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 319

MessaggioInviato: Gio Mag 25, 2017 7:58 am    Oggetto: Rispondi citando

vorrei sapere perchè usi regola drop e non accept,
con drop blocchi tutto http e ssl

non capisco...
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Gio Mag 25, 2017 8:04 am    Oggetto: Rispondi citando

tiger ha scritto:
vorrei sapere perchè usi regola drop e non accept,
con drop blocchi tutto http e ssl

non capisco...

Perchè parto dal concetto fondamentale (per me) che tutto va bloccato se non esplicitamente autorizzato.
Così ho la padronanza di poter gestire tutto ciò che attraversa il firewall
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 105

MessaggioInviato: Gio Mag 25, 2017 12:52 pm    Oggetto: Rispondi citando

Perchè a questo punto non uso il proxy?
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Sab Mag 27, 2017 7:44 am    Oggetto: Rispondi citando

wind ha scritto:

Perchè a questo punto non uso il proxy?

Perché il proxy non gestisce ad esempio https cioè ssl
Lo uso per abilitare alcuni pc per consentire loro di andare solo verso alcuni siti mentre la mia necessità è far navigare determinati ip verso tutti i siti su qualunque porta il sito web risponda purché i protocolli siano http ed ssl
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it