[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: [openbsd] iptables o pf ?
Mittente: Marco Spiga
Data: Thu, 16 Mar 2006 19:02:36 +0100 (CET)
> On Wed, 2006-03-15 at 19:18 +0100, Marco Spiga wrote:
> 
> > > > Il firewall di linux ha questa caratteristica:
> > > > 
> > > > iptables -A FORWARD -i ppp0 -o eth1 -j DROP
> > > > 
> > > > in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
> > > > del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....
> > > > 
> > > > Come esegue questa funzionalità il firewall di openbsd?
> > > 
> > > leggendo le FAQ[1] di pf. non chiediamo spiegazioni di cose gia` (molto) ben
> > > documentate.
> > > 
> > Si Sandro le ho lette (più di una volta), ma ti confermo che in PF non ho trovato tale funzionalità.
> > 
> > Se invece intendi che potrei usare due regole del tipo:
> > 
> > block in on $dmzif from $lanif:network to $dmzif:network (per favore correggimi se sbaglio)
> > block in on $lanif from $dmzif:network to $lanif:network
> > per me non è assolutamente uguale alla regola di iptables in questione (essa è indipendente dagli indirizzi ip).
> 
> poichè stiamo parlando di due firewall che ragionano in modo diverso,
> sarebbe di aiuto se descrivessi cosa vuoi fare esattamente, cosi' da
> capire le tue esigenze e suggerirti le regole adatte.
> 
> ppp0 e' l'interfaccia esterna? (extif?)
> eth1 e' una dmz e non una lan?
> 
No, non prenderle come riferimento, potevano essere eth3 e eth9.
> vuoi vietare il traffico dall'esterno alla dmz? 
> 
> che vuoi fare in che scenario?
> 
Es:
WANIF = "eth0"
LANIF = "eth1"
DMZIF = "eth2"
Tra la lan e la dmz voglio negare il traffico a prescindere da indirizzi ip, porte.
iptables -A FORWARD -i $WANIF -o $LANIF -j DROP
iptables -A FORWARD -i $LANIF -o $WANIF -j DROP
o semplicemente:
Setto una policy di negazione su tutte le interfaccie.
iptables -P FORWARD DROP

Tutto il traffico in entrata sulla eth0 e in uscita dalla eth2 (wan -> dmz) con stato NEW,RELATED,ESTABLISHED è consentito.
iptables -A FORWARD -i $WANIF -o $DMZIF -p tcp -state -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Tutto il traffico in entrata sulla eth2 e in uscita dalla eth0 (dmz -> wan) con stato RELATED,ESTABLISHED è consentito (includendo porte ed indirizzi)
iptables -A FORWARD -i $DMZIF -o $WANIF -p tcp -s 34.34.34.35 --sport 45 -d 90.90.90.90 --dport 44 -m state --state RELATED,ESTABLISHED -j ACCEPT

Questo è solo lo studio di pianificazione per un firewall futuro con una grossa mole di traffico.
Non ho ancora dettagli tecnici, so solo che dovrà adattarsi facilmente a diverse configurazioni di traffico, e possibilmente ridondante.
Dovrà gestire reti non direttamente connesse non so ancora quante interfacce avrà e vista la mole di indirizzi ip che dovrà gestire mi interessa poter "SEPARARE" il traffico tra queste.

> un mayhem e le decisioni da prendere

A presto
Marco
> -- 
> E non parlarmi di sentimenti di sabato mattina che mi viene da vomitare.
> https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057
> -------------- parte successiva --------------
> Un allegato non testuale è stato rimosso....
> Nome:        non disponibile
> Tipo:        application/pgp-signature
> Dimensione:  191 bytes
> Descrizione: This is a digitally signed message part
> Url:         /archivio.html#openbsd/attachments/20060315/5e245f90/attachment-0001.pgp
> 
> ------------------------------




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005