configurare m0n0wall

[laba]

Ho deciso, un p' per sicurezza e un po' per imparare qualcosa di nuovo, di recuperare il mio vetusto primo pc, un P133mhz con 64mb di ram per realizzare un firewall.

Infatti ho una connessione Tiscali Tandem, col router fornito da Tiscali. Non mi è mai piacituo il fatto che username e password per l'amministrazione siano così facili e comuni a tutti i clienti, e poi il firewall interno mi pare un po' spartano. Ho letto vaire cose anche su questo forum e so che un router inoltra nella rete solo le richieste provenienti dall'interno della lan stessa, ma non ci vorrebe nulla a qualcuno a creare una regola e iniziare a ficcanasare tra i miei dati, o no?

Vengo al dunque. Con monowall ho due interfacce, la lan e la wan. Lo schema è questo:

INTERNET ===>ROUTER TISCALI (192.168.1.1)===>WAN(?)==>M0n0wall==>LAN (192.168.1.2)===>miei pc (192.168.1.x)

Il problema è questo: ho settato la scheda del pc perchè il suo gateway sia la interfaccia LAN di monowall (.2),mentre al firewall ho detto che il suo gateway sarà il router. Inoltre ho inserito come dns server sia 192.168.1.1 che quelli di tiscali, sia sul firewall che sul pc.
Sul router ho disattivato dhcp e nat.
Il problema è questo. L'interfaccia WAN come va configurata? Ho provato a lasciarla su DHCP, e il pc mi vede monowall, ma non accedo ne al router ne a internet.
Il programma di messaggistica, però, mi fa vedere chi è in linea, anche se poi n o riesco a contattare nessuno. Nel firewall per prova ho inserito una regola che dice che da qualsiasi indirizzo interno alla lan posso uscire dalla porta 80, ma continua a non succedere nulla di positivo.Dal pannello vedo che ci sono tentativi di uscire, ma non riesco a capire se è lui che blocca il traffico

C'è qualcuno tra voi che usa questo firewall e sa darmi una mano? Tra i vari che ho visto in giro è quello con le richieste meno esose, in questo modo posso avere un sistema fanless e che consuma poco (ho disattivato tutto il possibile sulla scheda madre, e il sistema è su Compact Flash da 32mb).

Spero di essermi spiegato bene, altrimenti domani quando lo riaccendo posto qualche schermata.
Grazie!

[xcdegasp]

a dire il vero quel qualcuno dovrebbe far parte della tua lan per settare la regola nel pannello di amministrazione del tuo router...
in ogni caso non ottieni un considerevole aumento d'efficacia a meno che non siano tutti pc con sistema operativo unix-like (tipo mac o linux).
infatti i pc windows sofrono di vulnerabilità all'interno del pc inquanto è lì che la minaccia si apre il varco consentendo l'entrata dello "straniero", quindi se sono tutti pc windows non risolvi assolutamente nulla con quelk sistema.

la wan nel tuo caso è il router e devi impostare il router affinchè veda come server dhcp il pc-monowall

[laba]

per fortuna da oltre un anno sono passato a linux con tutti i pc di casa, per cui le care e vecchie falle di windows non mi preoccupano più di tanto. E la partizione windows mi serve giusto per potermi svagare ogni tanto con quei giochi che non riesco a far girare in linux.

Allora se non ho capito male devo mettere nelle impostazioni del monowall alla voce wan l'indirizzo del router, mentre disabilito il dhcp del router. Mi apre di aver già provato così, ma che non funzionasse. Avevo cercato parecchio pure nella board ufficiale, anche in quelal italiana, ma nulla.. grazie comunque del suggerimento, oggi pomeriggio vedrò se sarò fortunato!

[xcdegasp]

ottimo, se sei completamente migrato a linux allora stai creando un bel muretto, cmq io terrei anche la nat attiva nei vari pc...
ma io sono paranoico

cmq fammi sapere gli sviluppi


ps: anche io sono un estimatore di Frank Zappa, mio padre è sempre stato suo fan sfegatato

[laba]

mr. paranoico, :-p , tu sei riuscito a configurare il "muro"? perchè io continuo ad avere problemi... oltre che di firewalla nceh di virus, son da due giorni piegato dalla "semi-influenza" per cui non posso fare molto avanti-indietro con l'ingresso per ripristinare i cavi in caso di errate configurazioni sul pc-firewall.
Se tu l'avessi già fatto magari potresti dirmi se c'è qualcosa di basilare-ovvio che magari non viene detto di solito nelle altre guide.
Grassie!

Ps.: negli ultimi tempi sto riscoprendo alla grande il vero rock, quello anni '70...cavoli, quelli si che erano artisti!!Su zappa sto ancora documentandomi

[xcdegasp]

Quote:

Originariamente inviato da laba

mr. paranoico, :-p , tu sei riuscito a configurare il "muro"? perchè io continuo ad avere problemi... oltre che di firewalla nceh di virus, son da due giorni piegato dalla "semi-influenza" per cui non posso fare molto avanti-indietro con l'ingresso per ripristinare i cavi in caso di errate configurazioni sul pc-firewall.
Se tu l'avessi già fatto magari potresti dirmi se c'è qualcosa di basilare-ovvio che magari non viene detto di solito nelle altre guide.
Grassie!

Ps.: negli ultimi tempi sto riscoprendo alla grande il vero rock, quello anni '70...cavoli, quelli si che erano artisti!!Su zappa sto ancora documentandomi

in questo uno dei massimi esperti è l'utente W.S., io per ora ho configurato la nat in modo da non impedire il mio trafficio..
è filtrato sia in entrata che in uscita.

però volevo fare un qualcosa di più specifico, come per il mondo windows, cioè far lavorare le regole anche per applicazione e non solo per porte.
e qui si che le guide diventano strette perchè solo i tuoi neuroni faranno la differenza..
bisogna quindi spremere i neuroni, ma nulla di impossibile...
solo tanto tempo da dedicare

[laba]

ciao xdc
ti ringrazio per i consigli, ora però ti chiedo un aiuto "pratico".

Riporto qui com'è configurata la mia rete:
INTERNET ===>ROUTER TISCALI (192.168.1.1)===>WAN(?)==>M0n0wall==>LAN (192.168.1.2)===>miei pc (192.168.1.x)

ora avrei bisogno di sapere come devo configurare le interfacce LAN e WAN perchè si possa uscire.
Questa è la schermata "General Setup"

Come dns va bene mettere in dns di tiscali, giusto? in teoria potrei anche mettere il router, come facciosui pc della lan, ma forse è meglio mettere solo quelli del provider.

Ecco la schermata "interfaces - LAN"

qui invece è dove devo mettere l'indirizzo della scheda che andrà dal m'n'wall allo switch verso la mia lan, giusto?

e qui c'è la schermata dove forse temo di fare l'errore principale:
"Interfaces - WAN"


come "type" cosa va messo? Static o Dynamic? Ovviamente ilrouter tiscali ottiene l'ip in modo dinamico, ma il m0n0wall sta al di qua, per cui io gli posso dare un indirizzo ip fisso, tipo 192.168.1.3, e disabilito il dhcp sul router, o no?
Beh, facendo così non riesco a pingare nulla sul web, ne a pingare dal mio pc il router tiscali stesso.
Se lascio abilitato il dhcp sul router e metto dynamic stesso problema.

per finireecco le due semplici regole che ho provato ad abilitare nella sezione "Firewall" per permettere ai pc della rete di uscire:


e questa è quella su cui ho più difficoltà: quali sezioni vanno configurate?

Spero di essere stato ababstanza chiaro, se riesco a configurare il tutto faccio un bel how-to in italiano su come interfacciare il m0n0wall con un router esterno, perchè nonostante mi sia documentato non riesco a capire cosa sbaglio.
Grazie!

[xcdegasp]

il dns deve essere del router inquanto è il router che riceverà DNS e IP-pubblico
oppure metti il flag ad "Allow DNS ..."
(nei pc della lan metti sempre il router)

webgui direi proprio https

come interfaccia LAN direi:
192.168.1.3 / 24

inquanto il 192.168.1.2 dovrebbe essere di m0n0wall stesso


interface WAN = static inquanto il router sempre quello è.


Static IP configurator: 192.168.1.2
gateway: router tiscali


riavvia entrambi e vediamo che succede

[laba]

ok, grazie mille.. dopo provo, al momento non posso toccare nulla perchè ho due pc di amici che stanno facendo il passaggio a gutsy e nn voglio incasinare tutto

p.s.: ho appena misurato il consumo del firewall: 28-30Watt... speravo meglio, dopo vedo se abbassando un po' la frequenza del processore a 100mhz ottengo miglioramenti

[xcdegasp]

io ho fatto il passaggio a gutsy domenica scorsa