[Pluto-security] firewall, routing, bridging

Tom dido@sicurweb.com
Mon, 13 May 2002 13:57:09 +0200


Dunque, io non ho ancora provato, ma non credo assolutamente che in caso di=
=20
bridge tu debba attivare l'ip forwarding: come ti ho detto, appunto, ip e=20
arp sono a livello osi differente....In pratica, in un router tu devi=20
abilitare l'ip forwarding per fare passare i pacchetti da una sottorete ad=
=20
un'altra, mentre un un pringe devi abilitare il bridging per pare passare=20
le richieste arp. Quindi,in soldoni, tu devi:
-abilitare il brigde (ad es con 'utility della RH7.3)
-verificare che i pacchetti passino: in caso di gridging, ogni macchina=20
deve avere cone default gateway l'ip pubblico (xxx.xxx.xxx.81, se ben=20
ricordo i dati della tua rete).

Se quanto detto sopra funziona, io ti consiglio di fare questo:
- ti scarichi da internet il kernel 2.4.18
-_rimuovi_ la versione di iptables in rpm che =E8 con la distribuzione
-scarichi iptables 1.2.6a, e la ricompili (make  e make patch-o-matic, in=20
modo che tu possa applicare la patch netfilter-arp)
-ricompili il kernel, seguendo le istruzioni che trovi in iptables (in=20
pratica, devi attivare il supporto per le opzioni sperimentali, e nella=20
configurazione di netfilter ti comaprir=E0 una voce realtiva ai pacchetti=
 arp).

A questo punto puoi seguire tutte le istruzioni che hai trovato=20
nell'articolo (il gioco ormai =E8 fatto).

Prova e facci sapere!
Tom

At 13.19 13/05/2002, you wrote:
>Grazie mille Tom ma ho ancora le idee molto confuse:
>
>1. non ho capito se =E8 possibile configurare una box linux che faccia il
>forward dei pacchetti da una rete a un'altra utilizzando routing e
>iptables. (ribadisco, pur essendo convinto che sia pi=F9 giusto il
>bridging: non spreca indirizzi IP e riulta pi=F9 aderente alle mie
>necessit=E0). Il mio timore =E8 di non essere riuscito ad attivare il
>forwarding: =E8 possibile? Avevo forse sbagliato le route? Giusto per
>imparare qualcosa!
>
>2. Non sai nulla di RedHat 7.3 e della sua possibilit=E0 di creare un
>bridge tramite bridge-utils?
>
>Grazie mille ancora
>
>Piviul
>
>----- Original Message -----
>From: "Tom" <dido@sicurweb.com>
>To: <pluto-security@lists.pluto.linux.it>
>Sent: Monday, May 13, 2002 12:41 PM
>Subject: Re: [Pluto-security] firewall, routing, bridging
>
>
>Ciao!
>Il problema =E8 questo: un router =E8 intrinsecamente differente da un
>bridge!
>Lavorano proprio s 2 differenti livelli del modello iso/osi (il pirmo a
>liv. 3, il secondo a liv. 2)!!!
>Come ti aveva gi=E0 risposto Antonio Catani, un bridge lavora tramite le
>richieste ARP, e queste non sono gestite da iptables... Per lo meno,
>Netfilter non lo pu=F2 fare "cos=EC com'=E8": occorre applicare una patch=
 al
>kernel per farlo lavorare appunto a livello arp:
>http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.7-against-2.
>4.18.diff
>Se comunque hai iptables 1.2.6a, =E8 gi=E0 nel patch-o-matic.
>
>Tom
>
>At 11.57 13/05/2002, you wrote:
> >Ciao a tutti a voi della lista,
> >un po' di tempo fa Tommaso di Donato ha risposto a un mio messaggio
> >consigliandomi di installare un bridging firewall. Fin'ora non ho
>ancora
> >avuto tempo di provare a mettere in pratica l'articolo che mi ha
> >consigliato (fra le altre cose, per chi =E8 interessato all'argomento pu=
=F2
> >visitare il sito http://bridge.sourceforge.net/). Premesso che sono un
> >novizio Linux e delle mailing list in generale avrei alcune domande:
> >
> >1. Ho visto che =E8 uscito RedHat 7.3 e che fra i pacchetti forniti
> >(http://www.redhat.com/software/linux/pl_rhl.html) esiste un
> >'bridge-utils v. 0.9.3' (utilities for configuring the linux ethernet
> >bridge); qualcuno ne sa qualcosa? posso costruire un bridge firewall
>con
> >quella utility? (ancora non sono riuscito a scaricarla)
> >
> >2. Pur essendo convinto che la soluzione migliore per il mio problema
> >sia il bridging firewall, non riesco a capire come mai non sia riuscito
> >a configurare una macchina linux affinch=E9 faccia da NAT ma senza
> >masquerading. Riassumo per chi fosse interessato:
> >
> >Posseggo 8 IP pubblici: xxx.xxx.xxx.80-87
> >
> >Li ho divisi in due sottoreti con
> >xxx.xxx.xxx.80-83
> >xxx.xxx.xxx.84-87
> >
> >Il gestore internet insieme agli IP mi ha fornito un router
> >connesso ad internet con IP xxx.xxx.xxx.81;
> >
> >Ho configurato una box linux, box1, con due chede di rete
> >     eth1 con IP xxx.xxx.xxx.82 con subnetmask 255.255.255.252
> >     eth0 con IP xxx.xxx.xxx.85 con subnetmask 255.255.255.252
> >
> >Ho infine un altro PC, box2, con una scheda di rete
> >con IP xxx.xxx.xxx.86 e subnetmask 255.255.255.252.
> >
> >Sulla box1 ho configurato iptables in modo che avesse ACCEPT come
> >default policy nella chain FORWARD della tabella di default e il
>default
> >gatway all'IP del router.
> >
> >Sulla box2 ho inserito come defaultgatway l'ip xxx.xxx.xxx.85 e ho
> >provato anche xxx.xxx.xxx.82
> >
> >Come mai la box1 non fa il forward dei pacchetti?
> >
> >Grazie mille e spero di essere stato chiaro
> >
> >Piviul
> >
> >
> >_______________________________________________
> >Pluto-security mailing list
> >Pluto-security@lists.pluto.linux.it
> >http://lists.pluto.linux.it/mailman/listinfo/pluto-security
>
>
>_______________________________________________
>Pluto-security mailing list
>Pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security
>
>
>
>
>_______________________________________________
>Pluto-security mailing list
>Pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security