Linux Router Project

[mingotta]

E' uscita la nuova versione di IPCop 1.4.0, la beta5!!

Per scaricare con mldonkey:

Codice:

http 'http://osdn.dl.sourceforge.net/sourceforge/ipcop/ipcop-1.4.0b5.iso'

con wget

Codice:

wget -b http://osdn.dl.sourceforge.net/sourc...op-1.4.0b5.iso

Badate che il server è un po' lento.

[daewoo]

ho un problemino
Ho installato ipcop su un pentium200 con 32mb di ram, ma ho rpoblemi con il modem alcatel speedtouch usb. Sul manuale c'è scritto che per farlo funzionare si deve upolodare nell'apposita pagina il file mgmt.o, ok conosco questa procedura perchè ho fatto funzionare questo modem su mdk10.
Però qundo lo vado a caricare mi dice upload eseguito, vaod nella sezione impostazioni ppp e sotto driver mi dice che non c'è nessun driver caricato. Ho riprovato ma niente da fare.
Vorrei capire se basta inserire il file mgmt.o oppure devo installare manunalmete il modem, come ho fatto con mandrake


grazie

[mingotta]

Quote:

Originariamente inviato da daewoo
ho un problemino
Ho installato ipcop su un pentium200 con 32mb di ram, ma ho rpoblemi con il modem alcatel speedtouch usb. Sul manuale c'è scritto che per farlo funzionare si deve upolodare nell'apposita pagina il file mgmt.o, ok conosco questa procedura perchè ho fatto funzionare questo modem su mdk10.
Però qundo lo vado a caricare mi dice upload eseguito, vaod nella sezione impostazioni ppp e sotto driver mi dice che non c'è nessun driver caricato. Ho riprovato ma niente da fare.
Vorrei capire se basta inserire il file mgmt.o oppure devo installare manunalmete il modem, come ho fatto con mandrake

Potresti riportare la pagina del manuale in questione (URL) e la versione di IPCop che hai installato (suppongo la stable 1.3.0)?
Io non ho mai usato modem ADSL USB, solo ethernet.

[Cemb]

Io uso un modem ericsson hm120dp, che sfrutta driver eciadsl (quindi diversi da quelli per l'alcatel speedtouch). Comunque credo che la procedura per tutti i modem usb sia simile..
In pratica devi fare l'upload dei driver dall'apposito form dell'interfaccia web (selezioni il driver e gli dici "upload", come hai già fatto).
Dopodichè dovresti poter impostare i parametri della connessione dall'apposita pagina, ma può pure darsi che non te lo lasci fare. Comunque la periferica non può essere utilizzata fino al successivo riavvio (in pratica con la presenza del driver al nuovo caricamento del kernel si accorge di avere la periferica sulla porta USB e di possedere il driver necessario, quindi la inizializza).
Sei sicuro che il driver che hai uploadato sia quello corretto?
Per esempio a me il modem non funzionava con tutte le versioni di eciadsl (con alcune non si accendeva neppure..)

Byez!

[Cemb]

Ah, già che ci sono..
come faccio a bloccare (o meglio, a stealthare) la porta 80 con iptables, in modo che anche se apache è attivo non sia aperta sull'interfaccia red?
io non voglio ospitare alcuna pagina web su ipfrog/ipcop, quindi non mi va di avere il webserver accessibile all'esterno.. (vedi discussione nei post precedenti).
Byez!

[skazzo]

Quote:

Originariamente inviato da Cemb
Ah, già che ci sono..
come faccio a bloccare (o meglio, a stealthare) la porta 80 con iptables, in modo che anche se apache è attivo non sia aperta sull'interfaccia red?
io non voglio ospitare alcuna pagina web su ipfrog/ipcop, quindi non mi va di avere il webserver accessibile all'esterno.. (vedi discussione nei post precedenti).
Byez!

al solito, la regoletta
#iptables -A INPUT -p tcp --destination-port 80 -i ppp0 -j DROP
dice a iptables di ignorare il traffico tcp che proviene da ppp0 (l'interfaccia red, se è diversa cambiala) e vuole raggiugnere la porta 80.

bye

[Cemb]

Ok, in effetti avevo trovato questa regola da aggiungere leggendo un manualazzo di iptable online.
Però:
con "A" la aggiunge alla fine delle regole, giusto? Se prima c'è una regola che dice "blocca tutto, TRANNE il traffico tcp sulla porta 80" (che sarebbe quello che serve a rendere il server web accessibile dall'esterno, giusto?) comunque la regola che aggiungo verrebbe ignorata.
in pratica, come faccio a sapere che regole sono state impostate su ipfrog/ipcop per iptable? Anche perchè se è già tutto bloccato tranne la porta 80 per il tcp basterebbe dare la regola con l'opzione "D" (delete) per rimuovere l'eccezione e aver risolto.

Voi ne sapete qualcosa? Byez!
Mi spiego meglio: se gli dò iptables -L mi viene fuori tutto 'sto pappardellone, ma non ci capisco molto..

Quote:

Chain INPUT (policy DROP)
target prot opt source destination
ipac~o all -- anywhere anywhere
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5
CUSTOMINPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
RED all -- anywhere anywhere
XTACCESS all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT '

Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere
DMZHOLES all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ipac~i all -- anywhere anywhere

Chain CUSTOMFORWARD (1 references)
target prot opt source destination

Chain CUSTOMINPUT (1 references)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp echo-reply
DROP icmp -- anywhere anywhere icmp redirect
DROP icmp -- anywhere anywhere icmp echo-request
DROP tcp -- anywhere anywhere tcp dpt:135
DROP udp -- anywhere anywhere udp dpt:135
DROP tcp -- anywhere anywhere tcp dpt:136
DROP udp -- anywhere anywhere udp dpt:136
DROP tcp -- anywhere anywhere tcp dpt:netbios-ns
DROP udp -- anywhere anywhere udp dpt:netbios-ns
DROP tcp -- anywhere anywhere tcp dpt:netbios-dgm
DROP udp -- anywhere anywhere udp dpt:netbios-dgm
DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn
DROP udp -- anywhere anywhere udp dpt:netbios-ssn
DROP tcp -- anywhere anywhere tcp dpt:microsoft-ds
DROP udp -- anywhere anywhere udp dpt:microsoft-ds
DROP tcp -- anywhere anywhere tcp dpt:4000
DROP udp -- anywhere anywhere udp dpt:4000
DROP tcp -- anywhere anywhere tcp dpt:4001
DROP udp -- anywhere anywhere udp dpt:4001
DROP tcp -- anywhere anywhere tcp dpt:4002
DROP udp -- anywhere anywhere udp dpt:4002
DROP tcp -- anywhere anywhere tcp dpt:4080
DROP udp -- anywhere anywhere udp dpt:4080
DROP tcp -- anywhere anywhere tcp dpt:5036
DROP udp -- anywhere anywhere udp dpt:5036

Chain DMZHOLES (1 references)
target prot opt source destination

Chain PORTFWACCESS (1 references)
target prot opt source destination

Chain PSCAN (4 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? '
LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? '
LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? '
LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? '
DROP all -- anywhere anywhere

Chain RED (1 references)
target prot opt source destination
ACCEPT gre -- anywhere anywhere
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp

Chain XTACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere host57-7.pool8248.interbusiness.ittcp dpt:4662

Chain ipac~fi (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~fo (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~i (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~o (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

[mingotta]

Cemb, fatti un portscan dal sito grc.com solo sulla porta 80, prima di mettere la regola indicata da skazzo, e dopo, e vedi se la situazione cambia da CLOSED a STEALTH.
Io non ho mai smanettato con iptables e adesso non c'ho proprio tempo!
Ciao!
P.s.: certo che tra mingotta e skazzo, non si sa chi c'ha il nick più ardito!

[skazzo]

Quote:

Originariamente inviato da Cemb
Ok, in effetti avevo trovato questa regola da aggiungere leggendo un manualazzo di iptable online.
Però:
con "A" la aggiunge alla fine delle regole, giusto? Se prima c'è una regola che dice "blocca tutto, TRANNE il traffico tcp sulla porta 80" (che sarebbe quello che serve a rendere il server web accessibile dall'esterno, giusto?) comunque la regola che aggiungo verrebbe ignorata.
in pratica, come faccio a sapere che regole sono state impostate su ipfrog/ipcop per iptable? Anche perchè se è già tutto bloccato tranne la porta 80 per il tcp basterebbe dare la regola con l'opzione "D" (delete) per rimuovere l'eccezione e aver risolto.

Voi ne sapete qualcosa? Byez!
Mi spiego meglio: se gli dò iptables -L mi viene fuori tutto 'sto pappardellone, ma non ci capisco molto..

effettivamente questo firewall è un po' incasinato...
dunque, il traffico in entrata passa per la tabella INPUT, che ha come policy, ossia politica "finale", quella di scartare i pacchetti che non vengono considerati nelle altre regole.
I tuoi dubbi, quindi, sono fondatissimi.
purtroppo iptables -L non riporta proprio tutta la config, o meglio non scrive in dettaglio tutte le condizioni di una particolare regola...
infatti non leggo da nessuna parte un "80" o un "http"...
teoricamente la tabella da considerare è CUSTOMINPUT, a cui aggiungere la regola che ti ho detto...
però vorrei essere più sicuro: riesci a fare un
#iptables-save
?
se il comando esiste, ti viene proposto l'intero firewall (quindi anche le tabelle che non vedi) sullo stdout; con quell'output dovremmo capire meglio tutte le regole...
bye

[daewoo]

Ciao mingotta, questa è la pagina che mi chiedevi

http://www.ipcop.org/1.3.0/en/admin/...rmware-drivers

La situazioine è sempre la stessa, accendo il pc ipcop, ila lucetta usb lampeggia rosso, poi quando carica il SO si spegne.
Faccio l'upload del file mgmt.o, mi dice upload eseguito, poi vado su impostazioni ppp ma nella sezione driver mi dice nessun driver caricato.

uffa, voglio ipcop

[daewoo]

ah scusa, poi ho trovato questa discussione, vedi un pò se tu ci capisci qualcosa:

http://www.ipcops.net/index.php?name...ewtopic&t=2686


ciao

[Cemb]

Quote:

Originariamente inviato da daewoo
Ciao mingotta, questa è la pagina che mi chiedevi

http://www.ipcop.org/1.3.0/en/admin/...rmware-drivers

La situazioine è sempre la stessa, accendo il pc ipcop, ila lucetta usb lampeggia rosso, poi quando carica il SO si spegne.
Faccio l'upload del file mgmt.o, mi dice upload eseguito, poi vado su impostazioni ppp ma nella sezione driver mi dice nessun driver caricato.

uffa, voglio ipcop

Scusa, ma da dove hai preso i driver? Hai provato a dare un'occhiata qui? http://sourceforge.net/projects/speedtouch come ti dicevo, la cosa in sè è semplice. Fai l'upload dei driver, imposti i parametri di connessione (encapsulation, nome utente, passwrd, VPI/VCI, ecc ecc), riavvii e il modem dovrebbe perlomeno accendersi (se sei fortunato si allinea anche al primo colpo! ). Se è come per il mio modem all'inizio ci litighi un po', ma poi capisci e riesci a falo andare (io ci ho messo quasi un mese ad avere una ipcop box funzionante.. ma probabilmente è che sono tardo io! ). Fra l'altro leggevo chelo speedtouch è un po' schizzinoso con l'alimentazioen.. spesso richiede l'USB 2.0 per poter funzionare.. e non credo tu ce l'abbia su un pentium. Comunque prima fai un po' di prove, magari il problema sono solo i driver!

Per quanto riguarda iptables, invece: la scansione di tutte le porte mi dà la 80 chiusa. Le porte sono tutte in stealth mode (il test che mi hai consigliato parla addirittura di "raffinata tecnica" per non far sgamare il pc - commenta "cool".. dice che se sto usando una macchina win è una roba ecceziunàle veramente - ma noi sappiamo di essere su linux! ). Insomma, in teoria il mio pc non risponde a nessuna chiamata, neanche al ping, su nessuna porta. il che farebbe ben sperare.. Adesso vedo se riesco a salvare l'output di iptables per skazzo (uno dei due col nick ardito - e io che mi chiamo solo Cemb!!), così approfondiamo la questione.
Byez & grazie, come sempre!

[Cemb]

Niente, iptables-save su ipfrog non c'è.
Ad ogni modo, ho rifatto il port-scan da grc e mi dice che la 80 è in stealth mode, proprio come tutte le altre sotto la 1024.

Direi quindi che, in conclusione, non capisco come nexus (usato da mingotta) possa averla trovata aperta.. boh..

Comunque mi sa che è per quello che la 80 non appare nella lista delle catene di iptables; probabilmente non è stata fatta alcuna eccezione per quella porta (che in teoria non viene usata dal webserver neppure per la LAN, su cui impiega la 81) e quindi vale la regola "DROP" per la catena incoming (=è chiusa, o comunque stealthata, che forse è anche meglio).

Byez!

[skazzo]

pillole di iptables

considerate che un firewall minimale, ma blindato, può essere costruito tramite queste regole:

Codice:

#policy drop, rilascia tutti i pacchetti che non soddisfano i criteri:
iptables -P FORWARD DROP
#lascia passare pacchetti con connesisone già stabilita
#o se è un pacchetto relativo ad altri accettati in precedenza:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#attiviamo il masquerade per la rete interna,
#in modo da renderla trasparente all'esterno...
#indispensabile per fare da gateway;
#cambiare l'indirizzo della lan alla bisogna
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
#ricordate che per un gateway occorre abilitare l'ip forwarding...
echo 1 > /proc/sys/net/ipv4/ip_forward

inoltre filtriamo direttamente l'input:

Codice:

#policy drop, se i criteri non sono soddisfatti i pacchetti vengono scartati:
iptables -P INPUT DROP
#lasciamo libero il traffico di loopback:
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
#faccio passare il traffico già ritenuto sicuro in precedenza:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#apro tutto il traffico alla lan:
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
#oppure, con eth0=interfaccia di rete locale:
iptables -A INPUT -i eth0 -j ACCEPT

#apro le porte dei servizi che voglio far raggiugnere:
iptables -A INPUT -p tcp --destination-port 4662 -j ACCEPT
#cambiate tcp con udp, il numero della porta e aggiugnete altre condizioni

se volete restringere ulteriormente l'accesso... esempio:

Codice:

iptables -A INPUT -p tcp --destination-port 80 -s 192.186.0.0/24 -i eth0 -j ACCEPT

abilita l'accesso al server web ai soli indirizzi della lan connesso all'interfaccia eth0 (utile se si vuole avere la certezza che il pacchetto venga da locale...)


forse per qualcuno è arabo, ma alla fine è una cavolata...
basta sapere la sintassi e le regole...
se facessero un firewall così anche per windows non me la menerei per impostare ogni cosa sui pc degli amici...

bye

[Cemb]

Quote:

Originariamente inviato da skazzo
pillole di iptables

considerate che un firewall minimale, ma blindato, può essere costruito tramite queste regole:

.....

bye

In effetti è vero, ho letto un po' di roba sul web e iptables non è questa cosa terribile che pensavo..
Ad ogni modo, il fatto è che devi sempre sapere quali pacchetti e quali porte usare se vuoi, ad esempio, usare programmi p2p; devi sapere cos'è l'interfaccia di loopback; ecc ecc. il che, per un utente medio di windows (ovvero quello che accende il pc, scarica 3 mail, scrive una lettera commerciale e non sa neppure cosa c'è nello scatolone accanto al monitor) è una cosa "impossibile".
Certo, un firewall del genere potrebbe essere già attivo di default sotto win e poi potrebbe essere modificato soo dagli "smanettoni".. Buon per noi che usiamo linux e siamo bersagli meno facili!

byez!

[skazzo]

Quote:

Originariamente inviato da Cemb
In effetti è vero, ho letto un po' di roba sul web e iptables non è questa cosa terribile che pensavo..
Ad ogni modo, il fatto è che devi sempre sapere quali pacchetti e quali porte usare se vuoi, ad esempio, usare programmi p2p; devi sapere cos'è l'interfaccia di loopback; ecc ecc. il che, per un utente medio di windows (ovvero quello che accende il pc, scarica 3 mail, scrive una lettera commerciale e non sa neppure cosa c'è nello scatolone accanto al monitor) è una cosa "impossibile".
Certo, un firewall del genere potrebbe essere già attivo di default sotto win e poi potrebbe essere modificato soo dagli "smanettoni".. Buon per noi che usiamo linux e siamo bersagli meno facili!

byez!

infatti il firewall non è roba per "utonti"...
e rendere userfriendly un firewall equivale a smazzarsi e non poco per configurarlo...
mi spiego meglio:
gli utenti windows nonchè amici a cui ho installato un firewall non sanno neppure cos'è, gliel'ho installato io per metterli al riparo dagli attacchi, ma non sanno assolutamente come compotarsi di fronte ai messaggi di dialogo che il firewall propone.
Io purtroppo non posso sapere a priori quali messaggi escono, e dovrei riprodurre in 5 minuti l'utilizzo tipico del computer, cosa assai impossibile...
piuttosto è molto più veloce sapere quali saranno gli usi del pc in rete ==> quali porte aprire dal sottoscritto, in modo che, dopo 10 minuti di configurazione, l'accesso alla rete sia sicuro, tranquillo e trasparente.

non mi convinceranno mai del fatto che win è più intuitivo.
insegnate a vostro figlio come usare linux, poi mettetegli davanti un sistema win, poi ne riparliamo!!!

bye

[Red_Star]

molto interessante come thread !!! cmq penso di "riadattare" una debian o una gentoo per fare da firewall ecc...
però mi attira molto clarkconnect vostp che è debian based.........

[mingotta]

Quote:

Originariamente inviato da Red_Star
però mi attira molto clarkconnect vostp che è debian based.........

Leggendo qui --> http://www.clarkconnect.org/docs/2.1/intro.htm

vedrai che ClarkConnect 2.x è basata su Redhat.

Leggendo qui --> http://www.clarkconnect.org/developer/roadmap.php
invece, vedrai che la prossima versione di CC sarà basata su Fedora Core 2.

[Heretic]

scusatemi tanto, non ho avuto il tempo di leggere l'intero 3d, ma nessuno di voi ha pensato a iptables???? oltre su in questa pagina????? non ne ho visti degli altri... non c'è nulla di più ovvio e performante e in più customizzabile al max!!! con iptables fai tutto, anke NAT, se volete vi illustro anke una cfg tipo ora scappo, ciao raga

[skazzo]

Quote:

Originariamente inviato da Heretic
scusatemi tanto, non ho avuto il tempo di leggere l'intero 3d, ma nessuno di voi ha pensato a iptables???? oltre su in questa pagina????? non ne ho visti degli altri... non c'è nulla di più ovvio e performante e in più customizzabile al max!!! con iptables fai tutto, anke NAT, se volete vi illustro anke una cfg tipo ora scappo, ciao raga

certo, il mio primo router era una debian minimale con pppoe e iptables configurato a dovere.
Ma piuttosto che utilizzare distribuzioni generiche per un server in cui la sicurezza è tutto, è meglio orientarsi a distribuzioni orientate al firewalling/routing. Il risultato è un sistema più sicuro (perchè qualcuno si è sbattuto prima di te, quindi non devi reinventare le cose ma puoi migliorarle) e più ottimizzato, ossia richiederà le risorse necessarie esclusivamente agli scopi per cui è progettata.

bye