Re: [ml] firewall iptables

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2006 ml@sikurezza.org
Soggetto: Re: [ml] firewall iptables
Mittente: Mailing List Manager
Data: Sun, 12 Nov 2006 17:39:56 +0100 (CET)

----- Forwarded message from Can't dig that daddy <cdtdaddy(at)hotmail.com> -----
Subject: Re: [ml] firewall iptables
From: Can't dig that daddy <cdtdaddy(at)hotmail.com>
Reply-To: cdtdaddy(at)hotmail.com

On gio, 2006-11-09 at 21:40 +0100, Claudio Broglia wrote: 

> Molto semplicemente la macchina GW risponde alla richiesta ARP per
> l'indirizzo Internet anche se la riceve su un'altra interfaccia.

Caspita... funziona esattamente cos??!! :-O
Ritiro, umilmente, il mio post precedente e assumo che la configurazione
di Loris sia questa:

           LAN
            |
Host 1   ---|   LAN_IF-------GW_IF    ------
...         |--------|  FW   |--------| GW |---- Internet
Host N   ---|        ---------        ------
            |

> Questo comportamento ?? configurabile con la voce arp_ignore.
> Facendo copia&incolla da google:
> "arp_ignore - INTEGER

Claudio, potresti anche spiegarmi perch?? il comportamento di default ??
questo? Insomma, c'?? un motivo?
Questo comportamento pu?? causare un po' di problemi di sicurezza... Per
lo meno per chi non configura bene le regole di firewalling.
Ad esempio, probabilmente, Loris non aveva impostato la cleanup...

> Prova a lanciare questo comando:
> 
> echo 2 > /proc/sys/net/ipv4/conf/all/arp_ignore
> 
> e dovresti ottenere il comportamento desiderato.

Credo sarebbe pi?? opportuno lasciare, coscientemente, il comportamento
di default per le arp ed impostare meglio le regole di firewalling,
esplicitando le interfacce/indirizzi interessate/i.
Nel caso in esame, assumento la FORWARD chain vuota:

# Modifica le variabili secondo le esigenze!
LAN_IF="eth0"
LAN_NET="192.168.0.0/24"
GW_IF="eth1"

# Solo un esempio...

# Accetta pacchetti provenienti dall'interfaccia LAN che, 
# secondo il routing, sono destinati verso l'interfaccia 
# connessa al GW.
# I pacchetti devono essere relativi a "comunicazioni" nuove 
# (e.g.: apertura di una connessione TCP,...) o a "comunicazioni"
# gi?? stabilite.
iptables -t filter -A FORWARD -i $LAN_IF -o $GW_IF -s $LAN_NET \
-m state --state NEW,ESTABLISHED -j ACCEPT

# Accetta pacchetti provenienti dall'interfaccia connessa al GW 
# che, secondo il routing, sono destinati verso l'interfaccia  
# LAN.
# I pacchetti devono essere relativi a "comunicazioni" gi?? 
# stabilite o a "comunicazioni" relative ad altre gi?? stabilite
# (e.g.: connessione dati FTP,...).
iptables -t filter -A FORWARD -i $GW_IF -o $LAN_IF -d $LAN_NET \
-m state --state RELATED,ESTABLISHED -j ACCEPT

# Tutti gli altri instradamenti sono esplicitamente proibiti (cleanup
rule).
iptables -t filter -P FORWARD DROP 

Per whiplash.
Sicuramente le netmask dei client sono errate ma anche impostandole
correttamente avresti una configurazione parecchio insicura...

Ciao,
  Can't dig that daddy.
----- End forwarded message -----

Messaggi successivi:
- Re: [ml] firewall iptables, Claudio Broglia
- Re: [ml] firewall iptables, Emiliano Gabrielli (aka AlberT)

Data:
- precedente: Re: [ml] Testare un NIDS, Danilo Vizzarro
- successivo: Re: [ml] Testare un NIDS, pierpaolo palazzoli
- indice

Argomento:
- precedente: Re: R: [ml] firewall iptables, Can't dig that daddy
- successivo: Re: [ml] firewall iptables, Emiliano Gabrielli (aka AlberT)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005