|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Senior Member
Iscritto dal: Jul 2002
Città: Padova
Messaggi: 4245
|
Firewall.......secondo voi..........
Mi sono fatto un serverino con debian che mi fa da router e firewall e poi farà anche altre funzioni non ancora implementate.
Il serverino in questione ha 2 schede di rete. Sotto trovate lo script che configura il mio firewall e router, ma volevo sapere se secondo voi mi conviene configurare il firewall in modo che gestisca separatemente le due schede di rete o se va bene anche com'è. Grazie. Ecco gli script: ---------------------------------------------------------------------------------------------------- server:/etc/scripts# more firewall.sh #!/bin/bash # Policy di default delle catene iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # Accetta tutti i pacchetti in input e output dalla rete iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT # Accetto tutti i pacchetti che derivano da connessioni che io stesso ho iniziato iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Accetto tutti i paccheti in ingresso per le connessioni che vengono generate dall'interno iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Apro la porta # ssh iptables -A INPUT -p tcp --dport ssh -j ACCEPT # www iptables -A INPUT -p tcp --dport www -j ACCEPT # smtp iptables -A INPUT -p tcp --dport smtp -j ACCEPT # Loggo tutto quello che NON deriva da connessioni che io ho instaurato # a livello 7 (debug) del syslog. Questo significa, per esempio in Debian, che i pacchetti # bloccati verranno visualizzati in /var/log/syslog. iptables -A INPUT -j LOG --log-level 7 --log-prefix "Blocked Packet: " ------------------------------------------------------------------------------------------------------ server:/etc/scripts# more router.sh #!/bin/bash EXTERNAL=eth0 INTERNAL=eth1 iptables="/usr/sbin/iptables" # Blocca il forward fino a quando non vengono stabilite tutte le regole. echo '0' > /proc/sys/net/ipv4/ip_forward # Carica i moduli necessari modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe iptable_nat modprobe ipt_MASQUERADE # Attiva il nat (routing) iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # Forwarda tutti i pacchetti inerenti alla nostra rete locale iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT # Forwarda i pacchetti destinati alla porte 4661-4662 per il pc 192.168.0.253 # iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 4661 -j DNAT --to-destination 192.168.0.1:4661 # iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.1:4662 # iptables -A FORWARD -i $EXTERNAL -p tcp --dport 4661 -j ACCEPT # iptables -A FORWARD -i $EXTERNAL -p tcp --dport 4662 -j ACCEPT iptables -A FORWARD -j DROP # Attiva il forward echo '1' > /proc/sys/net/ipv4/ip_forward |
![]() |
![]() |
![]() |
#2 | ||
Senior Member
Iscritto dal: Oct 2003
Città: Turin
Messaggi: 746
|
Re: Firewall.......secondo voi..........
Quote:
queste due regole nn hanno credo l'effetto che desideri, dato che soprattuto nella 2° nn hai specificato l'interfaccia ... quindi si presuppone entrambe le interfaccie.... anke qui: Quote:
![]() dopodichè io metteri assieme i 2 script in modo tale che sei sicuro che le regole vengano scritte in maniera concatenata... metterei prima quello "router" e poi "firewall"
__________________
LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::. |
||
![]() |
![]() |
![]() |
#3 | |||
Senior Member
Iscritto dal: Jul 2002
Città: Padova
Messaggi: 4245
|
Re: Firewall.......secondo voi..........
Quote:
Tutto questo sia per l'interfaccia Wan che quella Lan. Mi spiegheresti meglio cos'è che non va secondo te? Quote:
![]() Quote:
![]() Grazie. |
|||
![]() |
![]() |
![]() |
#4 | |
Senior Member
Iscritto dal: Oct 2003
Città: Turin
Messaggi: 746
|
effettivamente nn mi ricordo bene cosa volevo dire...
![]() per quanto riguarda invece questo : Quote:
aggiungerei anke un echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts per evitare di rispondere ai ping broadcast se nn addirittura echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all per evitare di rispondere ai ping in generale se nn rispondi il + delle volte eviti di essere scannato...
__________________
LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::. |
|
![]() |
![]() |
![]() |
#5 |
Senior Member
Iscritto dal: Jul 2002
Città: Padova
Messaggi: 4245
|
OK, thanks.
Mi rimettero a scrivere poesie -> iptables -A.............. ![]() |
![]() |
![]() |
![]() |
#6 |
Senior Member
Iscritto dal: Oct 2003
Città: Turin
Messaggi: 746
|
potrebbe essere utile aprire un 3d per creare uno script per iptables per un firewall dual homed
... con tanti bei trucchettini per evitare scansioni e azzi e mazzi... magari se viene bene può essere aggiunto neglio howto
__________________
LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::. |
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Jul 2002
Città: Padova
Messaggi: 4245
|
Appena ho un attimo, mi metto al lavoro e poi quando (secondo me) sarà finito, mi dite se ci sono correzzioni da fare.
Grazie. Ciao. |
![]() |
![]() |
![]() |
#8 |
Senior Member
Iscritto dal: Feb 2004
Messaggi: 1209
|
io aggiungerei una regola per i syn
cioe' devi droppare quando ti arrivano troppe richieste di connessione.. seno ti muore il tutto....
__________________
...Ordunque... |
![]() |
![]() |
![]() |
#9 | |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
e se sono richieste legali (magari un casino di gente che visita il sito web)... comunque se uno ha la "forza bruta" (da leggersi: molta piu' banda di te) e vuole romperti le scatole, che tu droppi o non droppi i syn non cambia niente! comunque se avete in mente di mettere in piedi un firewall abbastanza generale (e ben commentato!) posso dare una mano! o si potrebbe fare un firewall modulare dovo lo script principale richiama i vari "moduli" (commentando quelli che non servono allo scopo) e mettere in piedi qualcosa di piu' che il firewall per il mio computer per navigare... Ciao!
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
![]() |
![]() |
![]() |
#10 |
Senior Member
Iscritto dal: Oct 2003
Città: Turin
Messaggi: 746
|
mitico HexDEF .. era proprio quello che avevo in testa.. commenti chiari e comprensibili
per quanto riguarda la protezione da synflood ho provato un paio di script una volta .. (script che indirizzano i syn in un'altra chain e li vengono contati) ma ho avuto spesso problemi...
__________________
LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::. |
![]() |
![]() |
![]() |
#11 | ||
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
![]() Quote:
Allora... chi ha le idee chiare su quello che si vuole progettare? (una cosa utile ai piu') io sparo la mia: macchina firewall router con 3 schede di rete: 1 per internet 2 per la rete locale, da trattare in maniera differente (tipo una rete puo' navigare, l'altra no se non attraverso proxy ecc.) fatemi sapere cosa avete in mente e poi iniziamo a scrivere qualcosa. Ciao!
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
||
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:53.