Re: [ml] firewall iptables

----- Forwarded message from Can't dig that daddy <cdtdaddy(at)hotmail.com> -----
Subject: Re: [ml] firewall iptables
From: Can't dig that daddy <cdtdaddy(at)hotmail.com>
To: ml(at)sikurezza.org

On lun, 2006-11-13 at 20:42 +0100, Claudio Broglia wrote:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> > Claudio, potresti anche spiegarmi perch?? il comportamento di default ??
> > questo? Insomma, c'?? un motivo?
> 
> Guarda, penso sia cos?? perch?? i bravi kernel developers han deciso che ??
> cos??. Ho provato a cercare negli archivi della LKML e dicono che ?? il
> comportamento di default, ma non ho trovato motivazioni al riguardo. Ad
> esempio: http://www.gossamer-threads.com/lists/linux/kernel/609040


Amen :)


> > Questo comportamento pu?? causare un po' di problemi di sicurezza... 
> 
> Lo credo anche io. La prima cosa che mi viene in mente ?? l'enumerazione
> di reti a 1 hop di distanza, generando richieste arp.



Gi??, ?? chiarissimo anche come farlo... 
Non si finisce mai di imparare! :D
BTW, conosci qualche tool che fa "bruteforce" un dato spazio di
indirizzi IP e intercetta/visualizza gli indirizzi nelle arp-reply
ricevute? 


> > Per lo meno per chi non configura bene le regole di firewalling.
> 
> Pi?? che un problema di firewall penso sia un problema di configurazione
> del SO. Che regola di firewall metti per bloccare una richiesta ARP che
> chiede il tuo indirizzo? Ok, l'indirizzo richiesto non ?? quello
> dell'interfaccia su cui ricevi il pacchetto ARP, ma parlando di iptables
> non mi viene in mente un modo per bloccare una richiesta di questo tipo.
> Al contrario abbiamo una comodissima entry in proc gestibile tramite
> sysctl, non sfruttarla mi sembra un peccato :)


Non intendevo assolutamente dire che non sia utile forzare il pinguino a
comportarsi come un "normale" dispositivo L3.
Insomma il motivo l'hai dato tu poco sopra!


> > Credo sarebbe pi?? opportuno lasciare, coscientemente, il comportamento
> > di default per le arp ed impostare meglio le regole di firewalling,
> > esplicitando le interfacce/indirizzi interessate/i.
> 
> Vedi sopra.
> 
> > iptables -t filter -A FORWARD -i $LAN_IF -o $GW_IF -s $LAN_NET \
> > -m state --state NEW,ESTABLISHED -j ACCEPT
> 
> Con questa regola non filtri le richieste ARP oggetto di nostra
> attenzione, dato che sono sotto il livello IP e che inoltre non
> necessitano di routing. In pratica, al GW arriverebbe la richiesta ARP,
> che verrebbe onorata, ed in seguito arriverebbero i pacchetti del client
>  che matchano tale regola.


Non era infatti mia intenzione filtrare le arp. Volevo dare a loris una
configurazione per risolvere il suo problema in modo generale.
In generale, infatti, ?? sempre meglio esplicitare interamente le regole
includendo interfacce e indirizzi... 
Insomma: antispoofing di indirizzi, cleanup rule ed espicitazione delle
interfacce...etcetc

Il problema dell'arp linux ?? di tutt'altra natura... e bada che non dico
che non vada tenuto in considerazione e, all'occorrenza, eliminato. :)

Sciuaz,
  Can't dig that daddy.
----- End forwarded message -----