[Pluto-security] Bridging Firewall

Dido dido@sicurweb.com
Wed, 02 Oct 2002 16:05:34 +0200 

Ciao!

At 15.34 02/10/2002 +0200, you wrote:
>Ciao  a tutti,
>sono nuovo di questa fantastica mailing list ... ho letto qualche vecchio
>post e mi sembrate tutti molto capaci del mondo linux.

Adulatore.... ;)


>SITUAZIONE:
>La rete del mio ufficio ? classica una lan che accede all'esterno=
 attraverso
>un router (ip fisso).. posso configurare qualsiasi cosa  tranne il router.

Situazione ben nota....

>MIA SOLUZIONE:
>Installo alla base del router una linux box e faccio in modo che si=
 comporti
>da bridging firewall poi volevo applicare delle regole di nat per=
 permettere
>alle richieste che arrivano sull'ip del router con porta es. 5090 di essere
>nattate e girate ad una macchina interna al mio ufficio......
>
>secondo voi ? qualcosa di possibile?

dunque, per esperienza diretta il bridging firewall funziona molto bene...=
=20
ma non nel tuo caso.. Come infatti dici tu, prima di arrivare al bridge il=
=20
tuo paccheto di richiesta connessione arriva al router...e (se tanto mi d=E0=
=20
tanto), quest'ultimo =E8 configurato per droppare tutte connessioni in=20
ingresso (una sorta di misura di sicurezza minima). Per lo meno,=20
solitamente telecom li configura cos=EC...
Quindi, o ti fai fare una modifica al router (un banale port forwarding),=20
oppure lo "scassini"... Oppure ancora, togli il router..
Scherzi a parte, devi modificare la conf del router (ci sono, a dire il=20
vero, sistemi pi=F9 o meno complicati per riuscire a bucare questo genere di=
=20
protezione, ma richiedono una seconda macchina su Internet, su cui u possa=
=20
installare un po' di roba...E' un po' macchinoso).
eventualmente, con calma guardiamo anche ai tuoi script, ora sono un po' di=
=20
fretta...
Dido


>(la linux box come bridging firewall funziona, infatti ora in ufficio=20
>navighiamo
>e facciamo tutte le operazioni passando dalla linux box)
>quindi, situazione attuale INTERNET----ROUTER---- LINUX BOX BRIDGING=
 FIREWALL
>--- RETE INTERNA , funzionante
>
>Chiedo questo perch? poi non ho ben chiaro una cosa: es.
>
>-ip router 123.456.789.1
>-da casa mia mi apro il browser e richiedo la seguente pagina=20
>http://123.456.789.1:5090
>-la richiesta arriva al router ... ma prima di passare per il bridge ed
>essere nattata .. forse viene nattata dal router prima? possibile?
>cerco di spiegarmi: il router fa di suo operazioni di nat per permettere
>ai pc della rete del mio ufficio di accedere ad internet... ma non so come
>si comporta se una richiesta arriva dall'esterno...
>E' possibile che il router sia impostato per impedire a pacchetti conteneti
>il flag SYN di richiesta connessione attivo, se fosse cosi non avrei=20
>speranze...
>
>Configurazione attuale della linux box:
>     red hat 7.3
>     bridge-utilities 0.9.5
>     eth0 collegata al router
>     eth1 collegata allo switch interno
>
>Script di avvio per configurare schede di rete e interfaccia bridge
>     $BR_IFACE=3Dbr0
>     $INTIF=3Deth1
>     $EXTIF=3Deth0
>     echo "Starting servicce bridge my_bridge"
>     brctl addbr $BR_IFACE || return=3D$rc_failed
>     brctl addif $BR_IFACE $INTIF || return=3D$rc_failed
>     brctl addif $BR_IFACE $EXTIF || return=3D$rc_failed
>     ifconfig $EXTIF 0.0.0.0 promisc || return=3D$rc_failed
>     ifconfig $INTIF 0.0.0.0 promisc || return=3D$rc_failed
>     brctl sethello $BR_IFACE 1 || return=3D$rc_failed
>     brctl setmaxage $BR_IFACE 4 || return=3D$rc_failed
>     brctl setfd $BR_IFACE 4 || return=3D$rc_failed
>     ifconfig $BR_IFACE promisc up || return=3D$rc_failed
>      echo -e "$return"
>      ;;
>
>Script di firewall per nattare le richieste particolare che arrivano al
>router e che io devo rigirare ad una particolare macchina della mia rete
>  /sbin/depmod -a
>  /sbin/modprobe ipt_LOG
>  /sbin/modprobe ipt_REJECT
>  /sbin/modprobe ip_conntrack_ftp
>
>iptables -F           #Cancello le regole di INPUT,OUTPUT, FORWARD
>iptables -F -t nat    #Cancello le regole impostate nella tabella nat
>iptables -X           #Cancello le catene create
>iptables -Z
>iptables -P INPUT ACCEPT #Non accetto niente in input
>iptables -P FORWARD ACCEPT  #Non faccio passare niente da sto firewall
>iptables -P OUTPUT ACCEPT  #Non faccio uscire niente da qua....
>
>#Specifichiamo
>iptables -t nat -A PREROUTING  -p tcp -d 192.168.1.254  --dport 5089 -j
>DNAT --to 192.168.1.6
>
>#Qui sorge un altro mio dubbio devo mettere -d 123.456.789.1 (cio?=
 'indirizzo
>del router) o  -d 192.168.1.254 (cio? l'indirizzo che il ruoter ha nella
>rete interna)??
>
>grazie e gloria a chi mi da un aiutino!
>RIEPILOGANDO:
>  funziona solo il bridging, dall'esterno non riesco a collegarmi ad una
>macchina delle mia rete lan del mio ufficio.
>
>Save
>
>
>_______________________________________________
>pluto-security mailing list
>pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security