Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Stop agli intrusi, modifica allo script
Nuovo argomento   Rispondi    Indice del forum -> Linux
Precedente :: Successivo  
Autore Messaggio
barninga
Mortale adepto
Mortale adepto


Registrato: 01/02/02 11:19
Messaggi: 34

MessaggioInviato: 18 Apr 2005 13:09    Oggetto: Stop agli intrusi, modifica allo script Rispondi citando

Ciao Stefano,
ho letto il tuo interessante articolo su netfilter (Linux in Rete, stop agli intrusi) e lo script da te proposto soddisfa le mie esigenze di protezione. C'è tuttavia un problema: il mio sistema non possiede un interfaccia ppp0 in quanto navigo dietro a un router linksys con protezione dmz abilitata. Ho quindi modificato le righe del tuo script inerenti in modo da renderle adatte alla mia configurazione in questo modo:

LAN_NET="192.168.1.0/24" # range di indirizzi della LAN
LAN_IP="192.168.1.2" # indirizzo del computer sulla LAN
LAN_IF="eth0" # interfaccia di rete LAN
INET_IF="eth0" # interfaccia virtuale di collegamento a Internet

Tuttavia una volta effettuata la modifica il firewall mi blocca tutto. Non posso nè navigare nè scaricare la posta...nulla! Allora ho apportato un'altra modifica alla prima riga mutandola in questo modo:

LAN_NET="192.168.1.0/0"

Ora funziona tutto, tuttavia non vorrei che questa modifica rendesse inservibili tutte le regole sottostanti nel senso che il firewall non filtra più nulla! Volevo chiederti dei consigli per rendere compatibile con la mia configurazione il tuo script. Have a nice day

Alessandro
Top
Profilo Invia messaggio privato
barninga
Mortale adepto
Mortale adepto


Registrato: 01/02/02 11:19
Messaggi: 34

MessaggioInviato: 18 Apr 2005 13:13    Oggetto: lan e dialup sono configurazioni diverse Rispondi

alessandro,

dato che il numero che segue la "/" in un indirizzo ip rappresenta il numero di bit (a partire da "sinistra") che indicano la rete, il "24" stabilisce che 192.168.0 e' la rete, mentre l'ultimo byte dell'indirizzo completo indica un host in quella rete. una netmask di 0 bit stabisce che tutti gli indirizzi sono host: non ho fatto prove concrete, ma sarei dell'idea che questo metta fuori gioco tutti i controlli di iptables riferiti alla rete di provenienza/destinazione dei pacchetti.

tieni presente che un pc collegato in dialup a internet e uno che invece, essendo attestat su una lan, accede a internet attraverso un router o un proxy sono due configurazioni molto diverse e devono essere gestite in modo diverso. in linea di massima, dal momento che il router e' per te default gateway, tutti i pacchetti che il tuo pc scambia con internet avranno come indirizzo di provenienza o destinazione quello del router, che e' il tuo default gateway.

percio' una soluzione semplice potrebbe essere applicare le regole piu' restrittive verso l'indirizzo del router: tutti i pacchetti che provengono dal router dovranno essere considerati potenzialmente pericolosi. cio' dovrebbe consentirti di modificare la configurazione di iptables in modo opportuno.

in sostanza, nella tua situazione non si hanno due interfacce di rete, delle quali una sicura e una pericolosa, ma una sola interfaccia che riceve sia il traffico sicuro sia quello pericoloso, percio' la tua configurazione dovra' discriminare gli indirizzi di provenienza dei pacchetti, piu' che l'interfaccia di rete, in modo da consentire liberamente il traffico con gli altri pc della lan (che attraversa sempre l'unica interfaccia di rete a disposizione, ma proviene da indirizzi locali diversi da quello del router) e filtrare invece quello proveniente dal router (che ha un indirizzo ben specifico sulla lan).

spero di averti dato indicazioni utili.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Linux Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi