[PLUTO-help] Re: Problema firewall
Gianluca Di Carlo
gianluca a letreporte.it
Dom 6 Giu 2004 09:48:34 CEST
Grazie dello script, ma considera che l'interfaccia esterna non va
direttamente su internet, ma si collega ad un router, quindi quando
faccio il ping dalla mia rete all'indirizzo del router il firewall
dovrebbe comportarsi come un semplice router, infatti tra l'interfaccia
eth1 collegata al mio router esiste la rete 192.168.1.1/24, dove il
router ha ip 192.168.1.254. Quindi, pensavo che in questo caso, per
tesstare il funzionamento dei firewall, il masquerading non serviva.
Ecco il risultato di ip route:
192.168.0.1/24 dev eth0 proto kernel scope link src 192.168.0.1
192.168.1.1/24 dev eth1 proto kernel scope link src 192.168.1.1
127.0.0.0/8 dev lo scope link
default via 192.168.1.254 dev eth1
Quindi non è che il mio è un problema nelle funzioni di routing del
sistema?
Grazie ancora
Gianluca
Il sab, 2004-06-05 alle 23:07, Luka Adesso ha scritto:
> On Saturday 05 June 2004 21:23, Gianluca Di Carlo wrote:
> > Ecco lo script che configura il firewall:
> [Cut]
> > Questo script viene lanciato al boot avendo messo chkconfig --add iptables
> > che richiama lo script di cui sopra
> praticamente lo script azzera iptables quindi non fa per niente da firewall.
>
> > Quindi anche se il firewall non fa praticamente nulla devo aggiungere il
> > nat?
> Sure. Il masquerade serve per uscire su internet da un ip con un ip privato. I
> tuoi client hanno ip privati (192.168.0.x) che su internet non vengono
> riconosciuti. Se attivi il masquerade il firewall riceve la richiesta per
> vedere una pagina e usa il proprio ip pubblico per farsela dare, rigirandola
> poi a chi ne ha fatto richiesta.
> Invece del masquerade puoi usre SNAT o DNAT, ma sono piu' scomodi (almeno per
> me)
>
> Aggiungi la regola che ti ho detto prima.
> Altrimenti prova questo script:
> rc.firewall
> #|/bin/sh
> modprobe ip_tables
> modprobe ip_conntrack
> modprobe ip_conntrack_ftp
>
> # Flusho le catene
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
>
> ## Crea una catena che blocchi le nuove connessioni, eccetto quelle
> provenienti dall'interno.
> iptables -N block
> # Accetto tutte le connessioni iniziate dall'interno della LAN.
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
>
> # Loggo tutti i pacchetti 'cattivi' da ppp0
> iptables -A block -i ppp0 -m limit -j LOG --log-prefix "Bad from ppp0:"
> iptables -A block -i ! ppp0 -m limit -j LOG --log-prefix "Bad not from ppp0:"
>
> iptables -A block -j DROP
>
> ## Dalle catene INPUT e FORWARD salta a questa catena
> iptables -A INPUT -j block
> iptables -A FORWARD -j block
>
> # Attivo il masquerade per la rete
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
> Sostituisci ppp0 con il tuo device collegato ad intenet. Questo script blocca
> tutto in ingresso tranne le connessioni create da dentro. Se devi aprire
> delle porte usa:
>
> # Apro le porte per DC
> iptables -A block -p tcp --dport 9176 -j ACCEPT
> iptables -A block -p udp --dport 9176 -j ACCEPT
>
More information about the pluto-help
mailing list