[Pluto-security] firewall, routing, bridging

Piviul pluto@flanet.org
Wed, 15 May 2002 15:10:49 +0200


Ciao a tutti e grazie mille per l'aiuto. Ho installato RedHat 7.3 che ha
Kernel 2.4.18, bridge-utils 0.9.3 e iptables 1.2.5.

Ho seguito le istruzioni dell'articolo
http://www.sparkle-cc.co.uk/firewall/firewall.html consigliatomi da
Tommaso e con mia grandissima sorpresa il bridging funziona!!! Non ho
ancora capito come mai ma funziona.
Vorrei per=F2 chiedervi alcune cose ancora sulla procedura che mi ha fatto
funzionare il bridge

1. nell'articolo mi dice di eseguire ifdown per ogni interfaccia di
rete. Non essendo riuscito a trovare alcuna informazione riguardo ifdown
(ho provato "man ifdown" ma non ce l'ho nel manuale), sapete se lo scopo
di questo comando sia quello di disabilitatre l'interfaccia?

2. poi bisogna tirare su il bridge e dirgli quali interfacce di rete
faranno parte del bridge (e fin qui problemi non ce ne sono).

3. Poi mi dice di assegnare un IP al bridge: gli ho assegnato l'ip
0.0.0.0.

Ma se assegnassi pi=F9 interfacce al bridge, come farebbe a sapere a quale
interfaccia inviare il pacchetto ricevuto? Ogni pacchetto ricevuto da
un'interfaccia lo invia a tutte le interfacce del bridge?

Grazie mille ancora di tutto

Paolo

PS
Poi vi far=F2 sapere anche per il filtraggio dei pacchetti.




----- Original Message -----
From: "Tom" <dido@sicurweb.com>
To: <pluto-security@lists.pluto.linux.it>
Sent: Monday, May 13, 2002 1:57 PM
Subject: Re: [Pluto-security] firewall, routing, bridging


Dunque, io non ho ancora provato, ma non credo assolutamente che in caso
di
bridge tu debba attivare l'ip forwarding: come ti ho detto, appunto, ip
e
arp sono a livello osi differente....In pratica, in un router tu devi
abilitare l'ip forwarding per fare passare i pacchetti da una sottorete
ad
un'altra, mentre un un pringe devi abilitare il bridging per pare
passare
le richieste arp. Quindi,in soldoni, tu devi:
-abilitare il brigde (ad es con 'utility della RH7.3)
-verificare che i pacchetti passino: in caso di gridging, ogni macchina
deve avere cone default gateway l'ip pubblico (xxx.xxx.xxx.81, se ben
ricordo i dati della tua rete).

Se quanto detto sopra funziona, io ti consiglio di fare questo:
- ti scarichi da internet il kernel 2.4.18
-=5Frimuovi=5F la versione di iptables in rpm che =E8 con la distribuzione
-scarichi iptables 1.2.6a, e la ricompili (make  e make patch-o-matic,
in
modo che tu possa applicare la patch netfilter-arp)
-ricompili il kernel, seguendo le istruzioni che trovi in iptables (in
pratica, devi attivare il supporto per le opzioni sperimentali, e nella
configurazione di netfilter ti comaprir=E0 una voce realtiva ai pacchetti
arp).

A questo punto puoi seguire tutte le istruzioni che hai trovato
nell'articolo (il gioco ormai =E8 fatto).

Prova e facci sapere!
Tom

At 13.19 13/05/2002, you wrote:
>Grazie mille Tom ma ho ancora le idee molto confuse:
>
>1. non ho capito se =E8 possibile configurare una box linux che faccia il
>forward dei pacchetti da una rete a un'altra utilizzando routing e
>iptables. (ribadisco, pur essendo convinto che sia pi=F9 giusto il
>bridging: non spreca indirizzi IP e riulta pi=F9 aderente alle mie
>necessit=E0). Il mio timore =E8 di non essere riuscito ad attivare il
>forwarding: =E8 possibile? Avevo forse sbagliato le route? Giusto per
>imparare qualcosa!
>
>2. Non sai nulla di RedHat 7.3 e della sua possibilit=E0 di creare un
>bridge tramite bridge-utils?
>
>Grazie mille ancora
>
>Piviul
>
>----- Original Message -----
>From: "Tom" <dido@sicurweb.com>
>To: <pluto-security@lists.pluto.linux.it>
>Sent: Monday, May 13, 2002 12:41 PM
>Subject: Re: [Pluto-security] firewall, routing, bridging
>
>
>Ciao!
>Il problema =E8 questo: un router =E8 intrinsecamente differente da un
>bridge!
>Lavorano proprio s 2 differenti livelli del modello iso/osi (il pirmo a
>liv. 3, il secondo a liv. 2)!!!
>Come ti aveva gi=E0 risposto Antonio Catani, un bridge lavora tramite le
>richieste ARP, e queste non sono gestite da iptables... Per lo meno,
>Netfilter non lo pu=F2 fare "cos=EC com'=E8": occorre applicare una patch =
al
>kernel per farlo lavorare appunto a livello arp:
>http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.7-against-2
.
>4.18.diff
>Se comunque hai iptables 1.2.6a, =E8 gi=E0 nel patch-o-matic.
>
>Tom
>
>At 11.57 13/05/2002, you wrote:
> >Ciao a tutti a voi della lista,
> >un po' di tempo fa Tommaso di Donato ha risposto a un mio messaggio
> >consigliandomi di installare un bridging firewall. Fin'ora non ho
>ancora
> >avuto tempo di provare a mettere in pratica l'articolo che mi ha
> >consigliato (fra le altre cose, per chi =E8 interessato all'argomento
pu=F2
> >visitare il sito http://bridge.sourceforge.net/). Premesso che sono
un
> >novizio Linux e delle mailing list in generale avrei alcune domande:
> >
> >1. Ho visto che =E8 uscito RedHat 7.3 e che fra i pacchetti forniti
> >(http://www.redhat.com/software/linux/pl=5Frhl.html) esiste un
> >'bridge-utils v. 0.9.3' (utilities for configuring the linux ethernet
> >bridge); qualcuno ne sa qualcosa? posso costruire un bridge firewall
>con
> >quella utility? (ancora non sono riuscito a scaricarla)
> >
> >2. Pur essendo convinto che la soluzione migliore per il mio problema
> >sia il bridging firewall, non riesco a capire come mai non sia
riuscito
> >a configurare una macchina linux affinch=E9 faccia da NAT ma senza
> >masquerading. Riassumo per chi fosse interessato:
> >
> >Posseggo 8 IP pubblici: xxx.xxx.xxx.80-87
> >
> >Li ho divisi in due sottoreti con
> >xxx.xxx.xxx.80-83
> >xxx.xxx.xxx.84-87
> >
> >Il gestore internet insieme agli IP mi ha fornito un router
> >connesso ad internet con IP xxx.xxx.xxx.81;
> >
> >Ho configurato una box linux, box1, con due chede di rete
> >     eth1 con IP xxx.xxx.xxx.82 con subnetmask 255.255.255.252
> >     eth0 con IP xxx.xxx.xxx.85 con subnetmask 255.255.255.252
> >
> >Ho infine un altro PC, box2, con una scheda di rete
> >con IP xxx.xxx.xxx.86 e subnetmask 255.255.255.252.
> >
> >Sulla box1 ho configurato iptables in modo che avesse ACCEPT come
> >default policy nella chain FORWARD della tabella di default e il
>default
> >gatway all'IP del router.
> >
> >Sulla box2 ho inserito come defaultgatway l'ip xxx.xxx.xxx.85 e ho
> >provato anche xxx.xxx.xxx.82
> >
> >Come mai la box1 non fa il forward dei pacchetti?
> >
> >Grazie mille e spero di essere stato chiaro
> >
> >Piviul
> >
> >
> >=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=
=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F
> >Pluto-security mailing list
> >Pluto-security@lists.pluto.linux.it
> >http://lists.pluto.linux.it/mailman/listinfo/pluto-security
>
>
>=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=
=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F
>Pluto-security mailing list
>Pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security
>
>
>
>
>=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=
=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F
>Pluto-security mailing list
>Pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security


=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=
=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F=5F
Pluto-security mailing list
Pluto-security@lists.pluto.linux.it
http://lists.pluto.linux.it/mailman/listinfo/pluto-security