Re: Riattivazione firewall
Il giorno gio, 11/06/2020 alle 09.04 +0200, Mauro ha scritto: > due passaggi, almeno io faccio cosi: > > > 1: faccio in modo da riavere rc.local con systemd (ci sono ottimi > howto in rete) > > 2: all'interno di rc.local metto una riga tipo: iptables-restore < > /etc/iptables.conf. > > il file iptables.conf lo hai generato preventivamente con iptables- > save /etc/iptables.conf. Provato e configurato, grazie! -- Ciao leandro
Re: Riattivazione firewall
Il giorno sab, 13/06/2020 alle 09.27 +0200, Sergio Vi ha scritto: > Io uso nftables che nelle ultime release sostituisce iptables. Lo > puoi attivare all'avvio consistemctl enable nftables.service Purtroppo devo usare oldstable di debian. -- Ciao leandro
Re: Riattivazione firewall
Marco ha scritto, > Perche' pasticciare con rc.local: esiste iptables-persistent Purtroppo l'installazione di iptables-persistent è incompatibile con yunohost (che è ancora basata su oldstable). P.S.: rispondo in modo un po' strano perché ho cancellato per errore il messaggio originale. -- Ciao leandro
Re: Riattivazione firewall
Io uso nftables che nelle ultime release sostituisce iptables. Lo puoi attivare all'avvio con sistemctl enable nftables.service Il Gio 11 Giu 2020, 00:49 Leandro Noferini ha scritto: > Ciao a tutti, > > ho un server casalingo con debian oldstable (che deriva da yunohost) > per il quale devo usare delle regole di firewall che non posso far > gestire al solo yunohost. > > Cosa posso usare per ricreare il firewall al riavvio? > > -- > Ciao > leandro > >
Re: Riattivazione firewall
Perche' pasticciare con rc.local: esiste iptables-persistent Il 11/06/2020 09:04, Mauro ha scritto: Il 11/06/2020 00:41, Leandro Noferini ha scritto: Cosa posso usare per ricreare il firewall al riavvio? due passaggi, almeno io faccio cosi: 1: faccio in modo da riavere rc.local con systemd (ci sono ottimi howto in rete) 2: all'interno di rc.local metto una riga tipo: iptables-restore < /etc/iptables.conf. il file iptables.conf lo hai generato preventivamente con iptables-save /etc/iptables.conf. M.
Re: Riattivazione firewall
Il 11/06/2020 00:41, Leandro Noferini ha scritto: > Cosa posso usare per ricreare il firewall al riavvio? due passaggi, almeno io faccio cosi: 1: faccio in modo da riavere rc.local con systemd (ci sono ottimi howto in rete) 2: all'interno di rc.local metto una riga tipo: iptables-restore < /etc/iptables.conf. il file iptables.conf lo hai generato preventivamente con iptables-save > /etc/iptables.conf. M.
Riattivazione firewall
Ciao a tutti, ho un server casalingo con debian oldstable (che deriva da yunohost) per il quale devo usare delle regole di firewall che non posso far gestire al solo yunohost. Cosa posso usare per ricreare il firewall al riavvio? -- Ciao leandro
Re: [SPAM] Re: [SPAM] Re: firewall
Il 28/11/19 20:00, Davide Prina ha scritto: in altra mail hai detto che il firewall lo hai sul modem. Quindi tutti i dispositivi che si connettono al modem devono rispettare le direttive del firewall. si, avevo dovuto aprire una porta per un'applicazione, per cui immagino che non avrebbe senso abilitare anche il firewall sul pc (unico pc peraltro). Ringrazio per la disponibilità Ciao Davide un saluto
Re: [SPAM] Re: [SPAM] Re: firewall
On 28/11/19 10:26, Alessandro wrote: Il 27/11/19 20:30, Davide Prina ha scritto: si può anche usare per bloccare gli spyware & C. :-) es: googleanalytics In questo modo li blocchi a tutti i dispositivi che si connettono :-) in che senso? come fanno a connettersi se non "offro" servizi? in altra mail hai detto che il firewall lo hai sul modem. Quindi tutti i dispositivi che si connettono al modem devono rispettare le direttive del firewall. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Elenco di software libero: http://tinyurl.com/eddgj GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [SPAM] Re: [SPAM] Re: firewall
Il 27/11/19 20:30, Davide Prina ha scritto: si può anche usare per bloccare gli spyware & C. :-) es: googleanalytics In questo modo li blocchi a tutti i dispositivi che si connettono :-) in che senso? come fanno a connettersi se non "offro" servizi? Ciao Davide Grazie ed un saluto
Re: [SPAM] Re: [SPAM] Re: firewall
Il 27/11/19 10:20, Piviul ha scritto: Solo una precisazione solo per fare una maggior chiarezza... mi sembra che tu stia parlando di installare il firewall sul PC desktop. Io sto parlando invece di dedicare un PC/server come firewall della LAN per monitorare e tenere sotto controllo tutti i PC/Smartphones della LAN. In effetti installare il firewall sul PC se la tua LAN è fidata serve a poco. Se invece nella tua LAN hai più utenti (moglie, figli, amici dei figli, vicini di casa...) e vuoi filtrargli il traffico o vuoi che alcuni PC espongano servizi all'esterno della LAN ecco che un firewall dedicato può incominciare ad avere un senso. capisco, direi che il tuo discorso è di più ampio respiro (come si suol dire) :) io in realtà non ho una lan.. ho solo una connessione con "firewall" interno al modem che mi hanno dato in dotazione. ti ringrazio per il tuo feedback :) un saluto
Re: [SPAM] Re: [SPAM] Re: firewall
On 27/11/19 10:13, Piviul wrote: In effetti installare il firewall sul PC se la tua LAN è fidata serve a poco. Se invece nella tua LAN hai più utenti (moglie, figli, amici dei figli, vicini di casa...) e vuoi filtrargli il traffico o vuoi che alcuni PC espongano servizi all'esterno della LAN ecco che un firewall dedicato può incominciare ad avere un senso. si può anche usare per bloccare gli spyware & C. :-) es: googleanalytics In questo modo li blocchi a tutti i dispositivi che si connettono :-) Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Perché microsoft continua a compiere azioni illegali?: http://linguistico.sf.net/wiki/doku.php?id=traduzioni:ms_illegal GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [SPAM] Re: [SPAM] Re: firewall
Il 26/11/19 20:57, Alessandro ha scritto: [...] Ti ringrazio, non appena avrò un po' di tempo disponibile vedrò se c'è qualche interfaccia grafica che aiuti/faciliti la configurazione del firewall in Debian... francamente ho visto che molte distro: Mint, Ubuntu, Manjaro non lo prendono proprio in considerazione, altre es: openSUSE fa scegliere se attivarlo o meno, per questo non ci avevo dato molto peso. Solo una precisazione solo per fare una maggior chiarezza... mi sembra che tu stia parlando di installare il firewall sul PC desktop. Io sto parlando invece di dedicare un PC/server come firewall della LAN per monitorare e tenere sotto controllo tutti i PC/Smartphones della LAN. In effetti installare il firewall sul PC se la tua LAN è fidata serve a poco. Se invece nella tua LAN hai più utenti (moglie, figli, amici dei figli, vicini di casa...) e vuoi filtrargli il traffico o vuoi che alcuni PC espongano servizi all'esterno della LAN ecco che un firewall dedicato può incominciare ad avere un senso. Piviul
Re: [SPAM] Re: firewall
Il 26/11/19 14:40, Piviul ha scritto: esistono delle distribuzioni dedicate per la configurazione dei firewall tipo shorewall[¹]; direi che è utile se necessiti di accedere dall'esterno alla tua LAN o se necessiti di tenere sotto controllo il traffico di rete generato dai devices nella tua lan indipendentemente dal fatto che la lan sia casalinga o ufficio. Ciao Piviul [¹] http://www.shorewall.org/ Ti ringrazio, non appena avrò un po' di tempo disponibile vedrò se c'è qualche interfaccia grafica che aiuti/faciliti la configurazione del firewall in Debian... francamente ho visto che molte distro: Mint, Ubuntu, Manjaro non lo prendono proprio in considerazione, altre es: openSUSE fa scegliere se attivarlo o meno, per questo non ci avevo dato molto peso. Grazie anche per il link, darò un'occhiata :)
Re: [SPAM] Re: firewall
Il 25/11/19 22:44, Alessandro ha scritto: [...] ma intendi per utilizzo casalingo? su altre distro come su Debian il firewall non risulta operativo e onestamente mi chiedo se risulta davvero necessario per un utilizzo casalingo? esistono delle distribuzioni dedicate per la configurazione dei firewall tipo shorewall[¹]; direi che è utile se necessiti di accedere dall'esterno alla tua LAN o se necessiti di tenere sotto controllo il traffico di rete generato dai devices nella tua lan indipendentemente dal fatto che la lan sia casalinga o ufficio. Ciao Piviul [¹] http://www.shorewall.org/
Re: firewall
Il 30/09/19 16:40, Piviul ha scritto: Ciao a tutti, secondo voi in fin dei conti come firewall è preferibile una distro dedicata tipo opnsense oppure è meglio la nostra debian con pacchetti dedicati? ma intendi per utilizzo casalingo? su altre distro come su Debian il firewall non risulta operativo e onestamente mi chiedo se risulta davvero necessario per un utilizzo casalingo? un saluto
Re: firewall
Mandi! Piviul In chel di` si favelave... > Ciao a tutti, secondo voi in fin dei conti come firewall è preferibile > una distro dedicata tipo opnsense oppure è meglio la nostra debian con > pacchetti dedicati? Da tempo, a partire da quelli di un amico, ho i miei script di firewalling... a cui ho aggiunto nel tempo QoS e load balancing. Dal punto di vista 'educativo' è sicuramente una bella cosa, ma come tempo ilgioco non vale la caendela. Per stare dietro a queste cose, a parte il vecchio, sostanzialmnete morto LARTC: https://lartc.org/ mi par di capire che il posto da seguire sia ora 'bufferbloat': https://www.bufferbloat.net/projects/ se dovessi iniziare oggi, credo che partire da shorewall: http://www.shorewall.org/ -- Microsoft is to Software as McDonalds is to Cuisine.
Re: firewall
Il 30/09/2019 15:52, Piviul ha scritto: > Ciao a tutti, secondo voi in fin dei conti come firewall è preferibile > una distro dedicata tipo opnsense oppure è meglio la nostra debian con > pacchetti dedicati? > > direi la prima. E' prodotto gia' navigato, pronto e gia' tarato per offrire un grado di sicurezza assoluto. A te resta solo da dirgli quello che vuoi. Potresti usare anche Debian, ma ti dovresti poi smazzare tutte le opzioni e le variabili del caso e non sono poco. Diciamo che le sfumature contano e c'e' tanto da lavorare. Non so' che grado di sicurezza ti serve, ma meglio andare sul sicuro usando un prodotto dove tutte le opzioni sono state valutate e opportunamente affrontate. Mauro
Re: firewall
Il 30/09/19 15:52, Piviul ha scritto: Ciao a tutti, secondo voi in fin dei conti come firewall è preferibile una distro dedicata tipo opnsense oppure è meglio la nostra debian con pacchetti dedicati? Grazie Piviul Personalmente prediligo PfSense-OpnSense. Ho modificato il tipo di lavoro negli ultimi due anni e mi trovo a gestire 12 firewall on VM (clusterizzati e non). Prediligo un soluzione integrata. Ma va a gusti, sicuramente CIAO Luca
firewall
Ciao a tutti, secondo voi in fin dei conti come firewall è preferibile una distro dedicata tipo opnsense oppure è meglio la nostra debian con pacchetti dedicati? Grazie Piviul
Firewall e contabilizzazione del traffico
Ciao a tutti in questo caldo agosto 2018. Post lungo ed anche un po' OT... Sto meditando sulla struttura del mio prossimo gateway/firewall per una rete scolastica. Premesso che il traffico "normale" (http, https e simile) è già gestito per gli utenti normali, mi serve aprire tutti o quasi i protocolli/indirizzi/porte del gateway per un centinaio utenti che dovrebbero avere competenze tecniche di un certo livello, a loro richiesta specifica e previa autenticazione. Ovviamente loggando il tutto per evitare abusi e fornendo report sia all'amministratore che all'utente interessato. Vorrei evitate captive portal e simili perché non tutti gli host della LAN hanno un browser e a volte neppure un'interfaccia utente. Pensavo ad una serie di script basati su iptables. Del tipo: * L'utente accede con ssh e specifica quali porte in uscita aprire per un certo MAC/IP. Questa richiesta è subito accolta (e segnalata all'amministratore). * Giornalmente ogni utente interessato riceve un report sul traffico generato e sugli IP/protocolli usati e da lui richiesti * L'amministratore riceve un report con evidenziati eventuali abusi (uso eccessivo, IP particolari) Al momento mi interessa l'aspetto tecnico e non quello legale. Ovviamente il gateway che ho in mente è Debian stabile, ma valuterei anche altre opzioni. Idee? Grazie -- Vincenzo Villa IISS Alessandro Greppi Monticello Brianza - Lecco http://www.issgreppi.gov.it
Re: Problema impostazioni firewall UFW e multicast
Il giorno 08/giu/2014, alle ore 19:45, mauro ma...@majaglug.net ha scritto: Il giorno 08/giu/2014, alle ore 19:43, gerlos gerlo...@gmail.com ha scritto: Forse sopra hai fatto un errore di battitura: proto=2 indica pacchetti IGMP, non icmp (per quel che capisco icpm-unicast, mentre igmp-multicast). yes, ho scritto troppo velocemente e soprattutto non ho letto. era igmp OK, adesso che l’”inondazione” è terminata, comincio a “vedere” accadere altre cose: Jun 8 19:43:33 dc01 kernel: [ 1235.474049] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:64:66:b3:ce:1a:94:08:00 SRC=192.168.0.2 DST=192.168.0.3 LEN=391 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=35065 DPT=48987 LEN=371 Jun 8 19:43:35 dc01 kernel: [ 1236.974565] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:64:66:b3:ce:1a:94:08:00 SRC=192.168.0.2 DST=192.168.0.3 LEN=289 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1900 DPT=50152 LEN=269 Jun 8 19:43:35 dc01 kernel: [ 1237.170251] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:00:26:73:36:84:79:08:00 SRC=192.168.0.44 DST=192.168.0.3 LEN=267 TOS=0x00 PREC=0x00 TTL=64 ID=63069 PROTO=UDP SPT=1900 DPT=50152 LEN=247 Jun 8 19:43:35 dc01 kernel: [ 1237.370043] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:64:66:b3:ce:1a:94:08:00 SRC=192.168.0.2 DST=192.168.0.3 LEN=391 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=51786 DPT=50152 LEN=371 192.168.0.3 è il file server in questione (debian stable), mentre gli altri due sono rispettivamente il router tp-link (192.168.0.2) e la stampante di rete ricoh (192.168.0.44), che suppongo correttamente funzionanti, e quindi suppongo che questi contatti siano almeno “accettabili” se non “leciti”. Ma secondo voi di cosa si può trattare? saluti gerlos -- Fairy tales are more than true, not because they tell us that dragons exist, but because they tell us that dragons can be beaten. G. K. Chesterton http://gerlos.altervista.org gerlos +- - - gnu/linux registred user #311588 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/672d02cc-febc-43e7-99b0-1121d5c6f...@gmail.com
Problema impostazioni firewall UFW e multicast
Ciao, Ho /var/log/messages pieni di questi messaggi di UFW che blocca comunicazioni multicast che credevo di aver consentito: Jun 8 16:15:12 dc01 kernel: [77637.657358] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:40:00:00:00:21:5a:74:86:c1:08:00 SRC=192.168.0.18 DST=239.192.0.0 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 Jun 8 16:15:14 dc01 kernel: [77640.115578] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:21:5a:74:86:c1:08:00 SRC=192.168.0.18 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 Questo è l’output di ufw status numbered: sudo ufw status numbered Status: active To Action From -- -- [ 1] 22 ALLOW INAnywhere [ 2] 123ALLOW IN192.168.0.0/22 [ 3] 80 ALLOW IN192.168.0.0/22 [ 4] 443ALLOW IN192.168.0.0/22 [ 5] 53 ALLOW IN192.168.0.0/22 [ 6] 5298 ALLOW IN192.168.0.0/22 [ 7] 5353 ALLOW IN192.168.0.0/22 [ 8] 515ALLOW IN192.168.0.0/22 [ 9] 631ALLOW IN192.168.0.0/22 [10] 9100 ALLOW IN192.168.0.0/22 [11] 445ALLOW IN192.168.0.0/22 [12] 137ALLOW IN192.168.0.0/22 [13] 138ALLOW IN192.168.0.0/22 [14] 139ALLOW IN192.168.0.0/22 [15] 389ALLOW IN192.168.0.0/22 [16] 3142 ALLOW IN192.168.0.0/22 [17] 67/udp ALLOW IN68/udp [18] 3128 ALLOW IN192.168.0.0/22 [19] 11000 ALLOW INAnywhere [20] 224.0.0.0/4/udpALLOW INAnywhere [21] 224.0.0.0/4/udpALLOW OUT Anywhere (out) [22] 11007 ALLOW INAnywhere [23] 12000 ALLOW INAnywhere [24] 67/udp ALLOW IN68/udp [25] 11000 ALLOW INAnywhere (v6) [26] 11007 ALLOW INAnywhere (v6) [27] 12000 ALLOW INAnywhere (v6) Credevo che le regole [20] e [21] fossero sufficienti a consentire le comunicazioni multicast, ma evidentemente ho sbagliato qualcosa. Che ne pensate? Dove potrebbe essere l’errore? grazie a tutti in anticipo, gerlos -- Fairy tales are more than true, not because they tell us that dragons exist, but because they tell us that dragons can be beaten. G. K. Chesterton http://gerlos.altervista.org gerlos +- - - gnu/linux registred user #311588 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/6ef6867b-b0c1-4396-aa02-6df5575d2...@gmail.com
Re: Problema impostazioni firewall UFW e multicast
Il giorno 08/giu/2014, alle ore 16:32, gerlos gerlo...@gmail.com ha scritto: [20] 224.0.0.0/4/udpALLOW INAnywhere [21] 224.0.0.0/4/udpALLOW OUT Anywhere (out) Qui consenti il passaggio di pacchetti udp. La riga di log indica proto=2 ovvero icmp. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/a823a05a-2e74-4709-a86b-109e2c2db...@majaglug.net
Re: Problema impostazioni firewall UFW e multicast
Il giorno 08/giu/2014, alle ore 16:45, ma...@majaglug.net ha scritto: Il giorno 08/giu/2014, alle ore 16:32, gerlos gerlo...@gmail.com ha scritto: [20] 224.0.0.0/4/udpALLOW INAnywhere [21] 224.0.0.0/4/udpALLOW OUT Anywhere (out) Qui consenti il passaggio di pacchetti udp. La riga di log indica proto=2 ovvero icml. Grazie per la risposta, mi ha messo sulla giusta strada! Forse sopra hai fatto un errore di battitura: proto=2 indica pacchetti IGMP, non icmp (per quel che capisco icpm-unicast, mentre igmp-multicast). Alla fine credo di aver risolto, anche grazie a questo post: http://nerdanswer.com/answer.php?q=56784 Perché ne rimanga nota, in caso altri abbiano problemi simili, si tratta di aggiungere queste regole via riga di comando: ufw allow out proto udp to 224.0.0.0/3 ufw allow out proto udp to ff00::/8 ufw allow in proto udp to 224.0.0.0/3 ufw allow in proto udp to ff00::/8 Ed aggiungere queste altre regole nei file di configurazione personali di UFW: /etc/ufw/user.rules: -A ufw-before-input -p igmp -d 224.0.0.0/3 -j ACCEPT -A ufw-before-output -p igmp -d 224.0.0.0/3 -j ACCEP /etc/ufw/user6.rules: -A ufw6-before-input -p icmpv6 -d ff00::/8 -j ACCEPT -A ufw6-before-output -p icmpv6 -d ff00::/8 -j ACCEPT Poi far ricaricare le regole con: ufw disable ufw enable saluti, gerlos -- Fairy tales are more than true, not because they tell us that dragons exist, but because they tell us that dragons can be beaten. G. K. Chesterton http://gerlos.altervista.org gerlos +- - - gnu/linux registred user #311588 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/a2368cbd-9f4b-4d98-81cc-687f7ebdd...@gmail.com
Re: Problema impostazioni firewall UFW e multicast
Il giorno 08/giu/2014, alle ore 19:43, gerlos gerlo...@gmail.com ha scritto: Forse sopra hai fatto un errore di battitura: proto=2 indica pacchetti IGMP, non icmp (per quel che capisco icpm-unicast, mentre igmp-multicast). yes, ho scritto troppo velocemente e soprattutto non ho letto. era igmp mauro ma...@majaglug.net signature.asc Description: Message signed with OpenPGP using GPGMail
Re: Problema impostazioni firewall UFW e multicast
Il giorno 08/giu/2014, alle ore 19:45, mauro ma...@majaglug.net ha scritto: Il giorno 08/giu/2014, alle ore 19:43, gerlos gerlo...@gmail.com ha scritto: Forse sopra hai fatto un errore di battitura: proto=2 indica pacchetti IGMP, non icmp (per quel che capisco icpm-unicast, mentre igmp-multicast). yes, ho scritto troppo velocemente e soprattutto non ho letto. era igmp OK, adesso che l’”inondazione” è terminata, comincio a “vedere” accadere altre cose: Jun 8 19:43:33 dc01 kernel: [ 1235.474049] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:64:66:b3:ce:1a:94:08:00 SRC=192.168.0.2 DST=192.168.0.3 LEN=391 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=35065 DPT=48987 LEN=371 Jun 8 19:43:35 dc01 kernel: [ 1236.974565] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:64:66:b3:ce:1a:94:08:00 SRC=192.168.0.2 DST=192.168.0.3 LEN=289 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1900 DPT=50152 LEN=269 Jun 8 19:43:35 dc01 kernel: [ 1237.170251] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:00:26:73:36:84:79:08:00 SRC=192.168.0.44 DST=192.168.0.3 LEN=267 TOS=0x00 PREC=0x00 TTL=64 ID=63069 PROTO=UDP SPT=1900 DPT=50152 LEN=247 Jun 8 19:43:35 dc01 kernel: [ 1237.370043] [UFW BLOCK] IN=eth0 OUT= MAC=00:40:ca:a0:84:4a:64:66:b3:ce:1a:94:08:00 SRC=192.168.0.2 DST=192.168.0.3 LEN=391 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=51786 DPT=50152 LEN=371 192.168.0.3 è il file server in questione (debian stable), mentre gli altri due sono rispettivamente il router tp-link (192.168.0.2) e la stampante di rete ricoh (192.168.0.44), che suppongo correttamente funzionanti, e quindi suppongo che questi contatti siano almeno “accettabili” se non “leciti”. Ma secondo voi di cosa si può trattare? saluti gerlos -- Fairy tales are more than true, not because they tell us that dragons exist, but because they tell us that dragons can be beaten. G. K. Chesterton http://gerlos.altervista.org gerlos +- - - gnu/linux registred user #311588 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/df945b9c-ed0b-433f-81f8-650af239f...@gmail.com
Re: Firewall VPN con due adsl
Ciao, Fri, Feb 03, 2012 at 02:37:53PM +0100, Marco Gaiarin wrote: Scusa, ma come è configurato openvpn? Io ho un po' di configurazoni simili, ma attraverso i file di configurazione dei tunnel ''bindo'' l'istanza di openvpn ad uno dei due IP in modo esplicito. In questo modo non c'è routing che tenga, nel senso che (seguendo LARTC) ho aggiunto delle tabelle specifiche per le interfacce di modo che quanto generato da una interfaccia esca per quella e solo per quella. Ho capito male? provo a collegare openvpn all'interfaccia specifica...avevo gia' provato a marcare i pacchetti in uscita dalla 1194 e a forzarli per andare verso l'interfaccia corretta ma senza successo...dopo riprovo...magari sbaglio qualcosa, intanto grazie per il suggerimento. -- Bye Enrico If you want to travel around the world and be invited to speak at a lot of different places, just write a Unix operating system. -- Linus Torvalds -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120204110528.ga29...@bestkevin.com
Re: Firewall VPN con due adsl
Mandi! Enrico Cherubini In chel dì si favelave... EC Qualche consiglio ? Scusa, ma come è configurato openvpn? Io ho un po' di configurazoni simili, ma attraverso i file di configurazione dei tunnel ''bindo'' l'istanza di openvpn ad uno dei due IP in modo esplicito. In questo modo non c'è routing che tenga, nel senso che (seguendo LARTC) ho aggiunto delle tabelle specifiche per le interfacce di modo che quanto generato da una interfaccia esca per quella e solo per quella. Ho capito male? -- Quante persone che non contano, e invece contano e si stanno contando gia` Stanno solo aspettando un segno, Capata`z (F. De Gregori) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/hi4tv8-l38@lily.sv.lnf.it
Firewall VPN con due adsl
Ciao, ho un firewall con due adsl che mi gestisce una vpn con openvpn. Le due linee sono bilanciate al 50% ip route add default scope global nexthop via 192.168.1.254 dev eth1 weight 1 nexthop via 192.168.3.1 dev eth2 weight 1 Ora le connessioni dei client avvengono su uno dei due IP pubblici, collegato alla eth2/192.168.3.1 Succede pero' che dopo un po' (alla scadenza della cache) routing finisca sull'altra scheda in bilanciamento, e quindi la vpn non vada: Funziona: local 192.168.3.2 from 94.36.18.209 dev lo src 192.168.3.2 cache local iif eth2 94.36.15.56 via 192.168.3.1 dev eth2 src 192.168.3.2 cache mtu 1500 advmss 1460 hoplimit 64 Non funziona: 94.36.15.56 via 192.168.1.254 dev eth1 src 192.168.1.2 cache mtu 1500 advmss 1460 hoplimit 64 local 192.168.3.2 from 94.36.18.209 dev lo src 192.168.3.2 cache local iif eth2 Ho provato a seguire alcuni documenti online in particolare dando i segg. comandi: ip route add default via 192.168.3.1 dev eth2 table Telecom ip rule add fwmark 1 table Telecom iptables -A PREROUTING -t mangle -p udp --sport 1194 -j MARK --set-mark 1 ma senza successo. Qualche consiglio ? -- Bye Enrico A fool and his honey are soon parted. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120131224841.ga14...@bestkevin.com
Firewall
Ciao Lista, Da qualche mese ho installato il firewall firestarter. Nella barra in alto c'e' una bella icona blu, quando nessuno tenta delle intrusioni. Ho notato gia' varie volte che quando navigo o leggo la posta l'icona diventa rossa, il che vuol dire che qualcuno sta tentando di accedere nel mio pc oppure di ficcare il naso per sapere quello che sto facendo. Io a volte clicco sul bottoncino del lock del firewall. Cosi' credo che si chiudano tutte le porte di rete del pc [ho una sola scheda di rete]. Ma cosi' non posso andare in internet. In una delle finestre di firestarter c'e' la possibilita' di vedere i numeri ip che tentano intrusioni. Avevo anche installato il pacchetto fail2bain, che mi sembra bloccasse gli indirizzi ip che tentano delle intrusioni. Forse non e' ben configurato. Io non mi intendo di regole di routing. Per me sono cose un po' troppo complicate. Ma che cosa posso fare per questo problema? Ciao Claudio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/!v=0.00-UQS=bHlvcmcA-T=EM-NT=0-A=6424.160-S=05122011192541.3980769830-H=@wis1!
Re: Firewall
In data lunedì 5 dicembre 2011 19:25:41, claudio.sandr...@fastwebnet.it ha scritto: Ciao Lista, Da qualche mese ho installato il firewall firestarter. Nella barra in alto c'e' una bella icona blu, quando nessuno tenta delle intrusioni. Ho notato gia' varie volte che quando navigo o leggo la posta l'icona diventa rossa, il che vuol dire che qualcuno sta tentando di accedere nel mio pc oppure di ficcare il naso per sapere quello che sto facendo. Io a volte clicco sul bottoncino del lock del firewall. Cosi' credo che si chiudano tutte le porte di rete del pc [ho una sola scheda di rete]. Ma cosi' non posso andare in internet. In una delle finestre di firestarter c'e' la possibilita' di vedere i numeri ip che tentano intrusioni. ma sei collegato direttamente ad internet o attraverso un router tipo adsl? Le porte aperte dipendono dai servizi che hai abilitato, li puoi controllare con il comando lsof, di cui non ricordo la sintassi però... -- Giancarlo Martini (Replace 'AAA' with @) mailto:giancarlomartiniAAAkatamail.com Registered Linux user number 367542 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201112051956.50793.giancarlomart...@katamail.com
Re: Firewall
Ma che cosa posso fare per questo problema? Claudio, ciao. Sarebbe utile che postassi la struttura della rete che utilizzi ed eventualmente come è configurato il router . Così come scrivi.. si capisce poco.. scusa la schiettezza. CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20111205193909.m49...@corep.it
Re: Firewall
On 05/12/2011 19:25, claudio.sandrone wrote: Da qualche mese ho installato il firewall firestarter Ho notato gia' varie volte che quando navigo o leggo la posta l'icona diventa rossa questo può voler dire tutto o nulla, potrebbe essere semplicemente un servizio che hai attivato, ma che blocchi con il firewall (es: sincronizzazione dell'orologio del sistema con un server esterno). prova ad indicare cosa riporta firestarter nella finestra eventi, in modo che si possa capire qualcosa di più. Il firewall poi va configurato in modo da adattarsi all'uso che ne fai della rete locale, i servizi che accedi all'esterno e quelli che dall'esterno vuoi permettere di entrare. Per esempio se hai più di un PC in rete e comunichi tramite ssh, allora devi abilitare la porta (di default la 22) se hai adottato regole restrittive. Inoltre usando il comando # netstat -putan puoi avere sott'occhio la situazione: * la colonna Local Address indica l'indirizzo e la porta che ha iniziato la connessione * la colonna Foreign Address indica l'indirizzo e la porta con cui è attiva la connessione * le righe con STATE - LISTEN: indicano che qualche processo eseguito sul tuo PC è in ascolto e in attesa di iniziare una comunicazione - ESTABLISHED: indica che è stata stabilita una connessione - CLOSE_WAIT: connessione che si sta chiudendo - ... Nota: per connessione non si intende qualcosa tra esterno (la rete internet) ed interno (il tuo PC), ma potrebbe essere un collegamento interno-interno Nota: indirizzi tipo 0.0.0.0:* e :::* indicano che in quel lato non c'è connessione Nota: indirizzi tipo :::XX e 0.0.0.0:XX indicano che c'è un processo in ascolto sulla porta XX, ma non c'è attualmente nessuna connessione Nota: puoi così sapere, guardando le righe LISTEN, se ci sono servizi attivi sul tuo PC che non ti interessano e quindi puoi disattivare o disinstallare per saperne di più: $ man netstat Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Petizione contro i brevetti software in Europa: http://petition.stopsoftwarepatents.eu/ Non autorizzo la memorizzazione del mio indirizzo su outlook -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4edd2a8b.6060...@gmail.com
Re: Firewall
On Mon, Dec 05, 2011 at 07:25:41PM +0100, claudio.sandr...@fastwebnet.it wrote: Ho notato gia' varie volte che quando navigo o leggo la posta l'icona diventa rossa, il che vuol dire che qualcuno sta tentando di accedere nel mio pc oppure di ficcare il naso per sapere quello che sto facendo. Io a volte clicco sul bottoncino del lock del firewall. Cosi' credo che si chiudano tutte le porte di rete del pc [ho una sola scheda di rete]. Ma cosi' non posso andare in internet. prova, quando clicchi sul bottoncino lock: root@yourpc # iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Questo (se non hai impostazioni bloccanti riguardo al traffico in uscita) dovrebbe permettere di far passare i pacchetti ip relativi a connessioni tcp che hai iniziato tu. Per ulteriori informazioni: man iptables http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html http://lartc.org/howto/ https://help.ubuntu.com/community/IptablesHowTo -- Emanuele Santoro signature.asc Description: Digital signature
Firewall
Buon giorno lista, tra tutti i programmi che ho trovato in rete (come Shorewall, Firestarter...), vorrei sapere quale sia il più sicuro e funzionante. Poichè non sono l'esclusivo utilizzatore del computer in questione, preferirei che avesse la GUI in modo da non rendere difficile la sua configurazione. Grazie, Ernesto -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1319971736.4616.7.ca...@zeppelin.homenet.telecomitalia.it
Re: Firewall
Ciao Ernesto ! Scegliere un firewall è sempre un'operazione delicata. Non penso si debba parlare di più o meno sicuro, ma di quali funzionalità ti servono. In generale scegli sempre prodotti che offrono un numero minore di servizi accessori (che non userai mai), meno fronzoli ci sono più è basso il tasso (statistico) di problemi di sicurezza. Poi il discorso è sempre relativo, se il supporto del security team è rapido ogni problematica di sicurezza si risolve in pochissimo (se tu sei rapido ad aggiornare). Personalmente utilizzo da anni firewall basati su BSD, mi trovo bene e li conosco abbastanza (pfsense). Permettono funzionalità di CARP, multiwan, ecc. Tutto dipende da ciò di cui hai bisogno. Il consiglio che ti posso dare (se vuoi) è di scegliere un sistema di firewalling aderente alle tue esigenze, senza strafare, senza installare decine di plugin che non ti servono, ecc. Nel mondo dei firewall ciò che è minimale e ben mantenuto è meglio. CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20111030153815.m39...@corep.it
Re: Firewall
Aggiungo, cosa che non avevo fatto nel precedente messaggio, che l'uso che devo fare è di tipo domestico e non aziendale. Io volevo solo un po' di sicurezza in più, anche perchè ripeto, il computer in questione non è solo mio. Prima di sceglierne uno definitivo, vorrei testarne 2-3 Ernesto
Re: Firewall
Se l'utilizzo è puramente domestico (poi non è detto che non vada bene anche per altri scopi), ti consiglio una macchina piccola, anche senza disco rigido e con poca RAM (64 Mbyte bastano) con delle schede di rete decenti (Intel) da dedicare al firewall. E dato il target ed il dimensionamento del sistema ti consiglio il progetto Monowall (basato su OpenBSD, www.m0n0.ch), fai partire la macchina da CD e salvi le impostazioni su pendrive o su floppy (ottimo se recuperi macchine vecchie), in questo modo eviti dischi rigidi che si rompono ed abbassi i consumi. CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20111030190541.m90...@corep.it
Re: Firewall
Ciao, io personalmente uso ipcop, è semplice da configurare mediante web-gui, è modulare, ci sono una serie di plugin di terze parti che implementano differenti funzionalità aggiuntive, io personalmente in passato ho provato copfilter. Come hardware uso un vecchio pentium III con 512 Mb di ram disco da 6 Gb e tre schede di rete (ho rete rossa-internet, verde-lan, blu-wifi, non ho bisogno della orange-dmz) Giovanni -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4eadbedc.7090...@infinito.it
vpn ipsec con firewall netscreen juniper.
Salve. Qualcuno ha esperienze nel mettere su una vpn tra un pc con debian e indirizzo dinamico, uso dyndns, e il firewall in oggetto? L'unico client che ho trovato e' kpnvc ma non ci cavo piede. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cae17a0xdxd-ss98hznll_-vpxvjpdp6ggc-fj0xpximosi7...@mail.gmail.com
Re: vpn ipsec con firewall netscreen juniper.
Il 22/07/2011 20:21, Mauro ha scritto: Salve. Qualcuno ha esperienze nel mettere su una vpn tra un pc con debian e indirizzo dinamico, uso dyndns, e il firewall in oggetto? L'unico client che ho trovato e' kpnvc ma non ci cavo piede. se kvpnc non va prova NetworkManager al suo interno ha una sezione vpn che è abbastanza semplificata, magari così hai meno problemi di configurazione. però effettivamente a parte kvpnc e network manager(con il suo plugin per ipsec) altri client furbi per connessioni vpn non ne conosco. Qualcuno ne conosce altri? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e29c7bf.3030...@gmail.com
Re: vpn ipsec con firewall netscreen juniper.
2011/7/22 Carlo mail.list...@gmail.com: Il 22/07/2011 20:21, Mauro ha scritto: Salve. Qualcuno ha esperienze nel mettere su una vpn tra un pc con debian e indirizzo dinamico, uso dyndns, e il firewall in oggetto? L'unico client che ho trovato e' kpnvc ma non ci cavo piede. se kvpnc non va prova NetworkManager al suo interno ha una sezione vpn che è abbastanza semplificata, magari così hai meno problemi di configurazione. però effettivamente a parte kvpnc e network manager(con il suo plugin per ipsec) altri client furbi per connessioni vpn non ne conosco. Qualcuno ne conosce altri? Si ma network manager tra gli altri mi permette di configurare la vpn attraverso vnpc, quindi alla fine non cambia niente. Non riesco a far andare la vpn in nessun modo, ho provato a seguire i vari how to su internet, aperto tutte le porte del router wireless ma niente. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e29c7bf.3030...@gmail.com -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAE17a0U1rozH7ahDaCKQaexJdaREM8=us9h9hqiqjdub0tw...@mail.gmail.com
Re: vpn ipsec con firewall netscreen juniper.
Il 22/07/2011 22:28, Mauro ha scritto: 2011/7/22 Carlomail.list...@gmail.com: Il 22/07/2011 20:21, Mauro ha scritto: Salve. Qualcuno ha esperienze nel mettere su una vpn tra un pc con debian e indirizzo dinamico, uso dyndns, e il firewall in oggetto? L'unico client che ho trovato e' kpnvc ma non ci cavo piede. se kvpnc non va prova NetworkManager al suo interno ha una sezione vpn che è abbastanza semplificata, magari così hai meno problemi di configurazione. però effettivamente a parte kvpnc e network manager(con il suo plugin per ipsec) altri client furbi per connessioni vpn non ne conosco. Qualcuno ne conosce altri? Si ma network manager tra gli altri mi permette di configurare la vpn attraverso vnpc, quindi alla fine non cambia niente. Non riesco a far andare la vpn in nessun modo, ho provato a seguire i vari how to su internet, aperto tutte le porte del router wireless ma niente. Hehe allora probabilmente il problema sta nel come tu ti agganci al juniper. Vado molto a memoria, potrei scrivere eresie... Non conosco juniper però se tu hai accesso al fw dai log dovresti vedere come vanno a finire le varie fasi ike, da qua qualcosa capisci. con kvpnc eventualmente puoi aumentare il verboso e anche da qua capire dove e se c'è un problema nelle fasi ike. se tu sei dietro un router e quindi nat, ipsec si arrabbia un pochetto perchè non hai connettività end to end e ipsec attraverso esp direi fa un controllo sull'header e sull'ip da cui arriva la richiesta per aprire il tunnel. credo che tu debba abilitare il nat-t sul juniper e sul client immagino qua non ricordo come funziona. spero di averti detto qualcosa che non hai già controllato. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e29ee4f.8070...@gmail.com
Re: vpn ipsec con firewall netscreen juniper.
2011/7/22 Carlo mail.list...@gmail.com: Il 22/07/2011 22:28, Mauro ha scritto: 2011/7/22 Carlomail.list...@gmail.com: Il 22/07/2011 20:21, Mauro ha scritto: Salve. Qualcuno ha esperienze nel mettere su una vpn tra un pc con debian e indirizzo dinamico, uso dyndns, e il firewall in oggetto? L'unico client che ho trovato e' kpnvc ma non ci cavo piede. se kvpnc non va prova NetworkManager al suo interno ha una sezione vpn che è abbastanza semplificata, magari così hai meno problemi di configurazione. però effettivamente a parte kvpnc e network manager(con il suo plugin per ipsec) altri client furbi per connessioni vpn non ne conosco. Qualcuno ne conosce altri? Si ma network manager tra gli altri mi permette di configurare la vpn attraverso vnpc, quindi alla fine non cambia niente. Non riesco a far andare la vpn in nessun modo, ho provato a seguire i vari how to su internet, aperto tutte le porte del router wireless ma niente. Hehe allora probabilmente il problema sta nel come tu ti agganci al juniper. Vado molto a memoria, potrei scrivere eresie... Non conosco juniper però se tu hai accesso al fw dai log dovresti vedere come vanno a finire le varie fasi ike, da qua qualcosa capisci. con kvpnc eventualmente puoi aumentare il verboso e anche da qua capire dove e se c'è un problema nelle fasi ike. se tu sei dietro un router e quindi nat, ipsec si arrabbia un pochetto perchè non hai connettività end to end e ipsec attraverso esp direi fa un controllo sull'header e sull'ip da cui arriva la richiesta per aprire il tunnel. credo che tu debba abilitare il nat-t sul juniper e sul client immagino qua non ricordo come funziona. spero di averti detto qualcosa che non hai già controllato. Devo solo vedere i log dello juniper, per il resto avevo gia' provato tutto :) che casino sto vpn ipsec, ricordo che con openvpn non avevo avuto tutti questi problemi. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAE17a0UjN2LKiDOMQ6hyv=Qi=u6js+scxqeparyf6bbttfc...@mail.gmail.com
Re: Richiesta consigli applicazioni/distribuzioni Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Max ha scritto: per studiarsi il manuale di shorewall e openvpn, e cito solo due esempi di utilizzo base per un firewall, ci vuole un sacco di tempo. ipcop o pfsense li installi e sei subito produttivo. e comunque funzionano molto bene. non lo metto minimamente in dubbio che sei subito produttivo e che funzionino bene, ci mancherebbe altro, il senso del mio discorso era che con una macchina Debian base hai più possibilita' tanto per citarne una il poterti ricompilare il kernel built-in che su un firewall e' una cosa NON stupida. Lo studiare lo metti in conto investimenti esperienza d'altra parte il nostro lavoro consiste sostanzialmente nello studiare soluzioni che poi applichiamo, quindi il documentarsi e' parte integrante del processo . ipcop ha una serie di addon che coprono quasi tutto l'indispensabile per una distro firewall. e anche pfsense non è messo male. sono a questo punto davvero incuriosito e me li installero' appema ho tempo (cioe' chissa' quando...) su delle virtual machines per vedere come sono e per imparare un qualcosa per chi vuole altre cose oltre al firewall ci sono anche zeroshell (non so se già citata) fatta da un italiano, idem come sopra... personalmente non metterei mai samba, posta, messaggistica e centralino asterisk sul mio firewall :) effettivamente devo dire che non mi pare una buona idea... :) my 2 (euro)cents e siamo 4 se tiriamo su bene poi ci facciamo una pizza in compagnia :) ciao - -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAku1jngACgkQm6qs1ZkNrIqNZgCfc6EmhXixdyGckpkR8zpmJQ1b QYAAnizliQwySKuFGi59s2xwdR3dGZ1K =ZQUe -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bb58e78.6080...@tiscali.it
Re: Richiesta consigli applicazioni/distribuzioni Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Fabrizio Mancini ha scritto: Quoto quello che ti ha scritto max, e ti aggiungo che se tu sei sempre li per risolvere qualunque tipo di problema allora puoi percorrere la strada di prendere una distro debian base e farci tutto quello che vuoi, ma se non sei sempre presente e la cosa deve essere gestita anche da qualcun'altro, vagli a spiegare in dettaglio tutte le regole di iptables che ci hai messo a manella, e come aggiungerne e modificarne alcune!!! soprattutto se è una persona poco tecnica. È un aspetto che non avevo proprio visto, in effetti e' vero sono sempre qui, quindi intervengo e inoltre ho delle vpn sia sul portatile che a csa che mi permettono di raggiungere tutte le macchine che mi serve raggiungere ma tu hai ragione da vendere. PfSense, ipcop, zeroshell e compagni hanno una interfaccia grafica che permette anche a chi non è espertissimo, di essere guidato da te semplicemente per telefono. Ripeto non sto dicendo che non siano prodotti piu' che validi, dico solo che personalmente (e sottolineo il personalmente) credo una Debian base dia piu' opportunita', fermo restando che si abbia poi la possibilita' di poter intervenire. Te lo dico per esperienza, perchè mi son trovato a dover dettare per telefono ad una persona che sapeva giusto accendere un pc con windows, le regole di iptables per telefono (compresi gli spazi e le maiuscole / minuscole) e ti assicuro che per un problema risolvibile in 5 minuti ci sono volute ore!! e non è stato piacevole! B... ci credo cosa che non sarebbe successa con una distro tipo pfsense, ipcop ecc. ecc. nell'ottica che hai prospettato tu senza dubbio My 2c ciao f e siamo a 6 dai dai che ceniamo tutti assieme :) ciao - -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAku1kA0ACgkQm6qs1ZkNrIqmOgCfWbxSOjhov7qUq+hRSSNJkprD /RQAn05TO2Vfx+nQylcn+CC+N0yOfw4+ =3as7 -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bb5900d.1030...@tiscali.it
Re: Richiesta consigli applicazioni/distribuzioni Firewall
Grazie a tutti dei consigli... mi sono messo a lavoro... Vi farò sapere. Ciao
Re: Richiesta consigli applicazioni/distribuzioni Firewall
per studiarsi il manuale di shorewall e openvpn, e cito solo due esempi di utilizzo base per un firewall, ci vuole un sacco di tempo. ipcop o pfsense li installi e sei subito produttivo. e comunque funzionano molto bene. Quoto quello che ti ha scritto max, e ti aggiungo che se tu sei sempre li per risolvere qualunque tipo di problema allora puoi percorrere la strada di prendere una distro debian base e farci tutto quello che vuoi, ma se non sei sempre presente e la cosa deve essere gestita anche da qualcun'altro, vagli a spiegare in dettaglio tutte le regole di iptables che ci hai messo a manella, e come aggiungerne e modificarne alcune!!! soprattutto se è una persona poco tecnica. PfSense, ipcop, zeroshell e compagni hanno una interfaccia grafica che permette anche a chi non è espertissimo, di essere guidato da te semplicemente per telefono. Te lo dico per esperienza, perchè mi son trovato a dover dettare per telefono ad una persona che sapeva giusto accendere un pc con windows, le regole di iptables per telefono (compresi gli spazi e le maiuscole / minuscole) e ti assicuro che per un problema risolvibile in 5 minuti ci sono volute ore!! e non è stato piacevole! cosa che non sarebbe successa con una distro tipo pfsense, ipcop ecc. ecc. My 2c ciao f
Richiesta consigli applicazioni/distribuzioni Firewall
Ciao a tutta la lista, volevo chiedere un vostro parere su un applicazione Firewall da installare. Al momento utilizzo Ipcop, con le dovute modifiche, per renderlo vicino ai miei bisogni. Sono molto contento però vedo che tale distribuzione non è più aggiornata. Mi piacerebbe trovare una distribuzione / applicazione Firewall, che sia aggiornata, che sfrutti bene le nuove tecnologie hardware ( tipo i nuovi processori con più core fisici e virtuali ), che supporti filtraggi a livello 7, vpn o openvpn e tutte le funzionalità di un buon prodotto. Mi piacerebbe anche capire se ci sono limitazioni sul numero di connessioni Vpn supportate. Aspetto vostri consigli Ringrazio a tutti in anticipo Ciao
Re: Richiesta consigli applicazioni/distribuzioni Firewall
2010/3/31 xserver80 xserve...@gmail.com Ciao a tutta la lista, volevo chiedere un vostro parere su un applicazione Firewall da installare. Al momento utilizzo Ipcop, con le dovute modifiche, per renderlo vicino ai miei bisogni. Sono molto contento però vedo che tale distribuzione non è più aggiornata. Mi piacerebbe trovare una distribuzione / applicazione Firewall, che sia aggiornata, che sfrutti bene le nuove tecnologie hardware ( tipo i nuovi processori con più core fisici e virtuali ), che supporti filtraggi a livello 7, vpn o openvpn e tutte le funzionalità di un buon prodotto. Mi piacerebbe anche capire se ci sono limitazioni sul numero di connessioni Vpn supportate. Ciao, da mia esperienza personale ti posso consigliare pfsense, che mi è risultato essere una tra le migliori in giro per le mie necessità. Per quello che ti serve a L7 ti consiglio di leggere la doc e vedere se ha quello che ti serve http://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7 Per tutto il resto consulta il sito ufficiale. http://www.pfsense.com/ Ciao f
Re: Richiesta consigli applicazioni/distribuzioni Firewall
... Ciao a tutta la lista, volevo chiedere un vostro parere su un applicazione Firewall da installare. ... da mia esperienza personale ti posso consigliare pfsense, che mi è risultato essere una tra le migliori in giro per le mie necessità. .. +1
[OT] Re: Richiesta consigli applicazioni/distribuzioni Firewall
Ciao xserver80, e un saluto quasitriduopasquale si estende a tutta la lista... Il giorno 31 marzo 2010 11.29, xserver80 xserve...@gmail.com ha scritto: Ciao a tutta la lista, volevo chiedere un vostro parere su un applicazione Firewall da installare. Al momento utilizzo Ipcop, con le dovute modifiche, per renderlo vicino ai miei bisogni. Sono molto contento però vedo che tale distribuzione non è più aggiornata. è OT, ma puoi dare uno sguardo alla versione testing di IPCop, ora alla versione 1.9.14 scaricabile da http://sourceforge.net/projects/ipcop/files/ io la ho provata, funziona ed è molto migliorata... sono tornato alla 1.4.21 per ovvi motivi di stabilità, sicurezza e mancanza di addons aggiornati... Vieri -- La teoria è quando si sa tutto ma non funziona niente. La pratica è quando funziona tutto ma non si sa il perché. In ogni caso si finisce sempre con il coniugare la teoria con la pratica: non funziona niente e non si sa il perché. A.Einstein
Re: Richiesta consigli applicazioni/distribuzioni Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 xserver80 ha scritto: Aspetto vostri consigli Ringrazio a tutti in anticipo Ciao ma per farla molto semplice perche' non istalli una bella stable con su shorewall? Caso mai ti servisse poi ci puoi mettere proxy ids e quant'altro una distro dedicata e' quella e punto o ha tutto o se ti manca una virgola sei nel guano penso. My two cents - -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkuzWwMACgkQm6qs1ZkNrIqhQACeLR+aj+fn7Q2/wnn+2QwzDzP9 9VgAn1Q5l3KDWzdkY7U9lrJOP6BNcihz =/Gx3 -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bb35b03.7020...@tiscali.it
Re: Richiesta consigli applicazioni/distribuzioni Firewall
Il 31/03/2010 16:24, Mario Vittorio Guenzi ha scritto: ma per farla molto semplice perche' non istalli una bella stable con su shorewall? Caso mai ti servisse poi ci puoi mettere proxy ids e quant'altro una distro dedicata e' quella e punto o ha tutto o se ti manca una virgola sei nel guano penso. considerazione molto vera. e anche io vorrei potere fare sempre così, per avere più flessibilità e controllo sul sistema purtroppo però non sempre c'è tempo di studiare tutto quel che serve per fare funzionare i software che operano solo dalla shell. per studiarsi il manuale di shorewall e openvpn, e cito solo due esempi di utilizzo base per un firewall, ci vuole un sacco di tempo. ipcop o pfsense li installi e sei subito produttivo. e comunque funzionano molto bene. ipcop ha una serie di addon che coprono quasi tutto l'indispensabile per una distro firewall. e anche pfsense non è messo male. per chi vuole altre cose oltre al firewall ci sono anche zeroshell (non so se già citata) fatta da un italiano, oppure, per fare server per utenze SB c'è anche ebox, davvero un ottimo prodotto, anche se personalmente non metterei mai samba, posta, messaggistica e centralino asterisk sul mio firewall :) my 2 (euro)cents ciao Max -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bb36984.4080...@email.it
Problema con un firewall
Ciao, vediamo se qualcuno riesce a darmi un'idea :) Ho questo firewall, due schede di rete, un PIII 500 per circa 20 macchine di cui collegate contemporaneamente direi un 4/5, quindi non penso sia sottodimensionato, tale firewall fa anche da proxy trasparente con squid+havp. Cosa succede ? A volte, senza motivo, si blocca la navigazione (quindi e' come se squid morisse), non riesco a fare ssh sulla macchina ma riesco a fare ssh verso l'esterno, la vpn con openvpn che lo collega con un server esterno di cui e' client va in timeout, da console non riesco ad entrare (il tasto invio non da alcun effetto) mentre alt+FX fa cambiare console. Smette di scrivere sul disco perceh' il syslog si ferma. Nei log di squid non vedo nulla di anomalo cosi' come quelli di havp. Io penso che possa essere un errore del disco, che pero' non vedo su syslog, per cui tutto cio' che interagisce con il disco (vpn, squid, login) smette di andare, mentre il traffico in forward passa, ma non mi spiego il comportamento della tastiera (provate un paio, stesso risultato). Qualche suggerimento prima di sostiruire l'HW ? (lo faro', ma mi piacerebbe capire cosa puo' essere). -- Bye Enrico I'd crawl over an acre of 'Visual This++' and 'Integrated Development That' to get to gcc, Emacs, and gdb. Thank you. -- Vance Petree, Virginia Power -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100306131527.gc11...@bestkevin.com
Re: Problema con un firewall
.. mi sa di problema hardware. Comunque, prova a redirigere tutto il LOG *.* su una tty, in modo da tenere sempre sott'occhio i log di demoni e kernel. Io uso *.* rediretto in tty12 come default. Se non riesce a scrivere su disco... ti perdi il log relativo.. ma almeno su una console rediretta lo vedi... costa poco -- Original Message --- From: Enrico Cherubini ke...@bestkevin.com To: debian-italian@lists.debian.org Sent: Sat, 6 Mar 2010 14:15:27 +0100 Subject: Problema con un firewall Ciao, vediamo se qualcuno riesce a darmi un'idea :) Ho questo firewall, due schede di rete, un PIII 500 per circa 20 macchine di cui collegate contemporaneamente direi un 4/5, quindi non penso sia sottodimensionato, tale firewall fa anche da proxy trasparente con squid+havp. Cosa succede ? A volte, senza motivo, si blocca la navigazione (quindi e' come se squid morisse), non riesco a fare ssh sulla macchina ma riesco a fare ssh verso l'esterno, la vpn con openvpn che lo collega con un server esterno di cui e' client va in timeout, da console non riesco ad entrare (il tasto invio non da alcun effetto) mentre alt+FX fa cambiare console. Smette di scrivere sul disco perceh' il syslog si ferma. Nei log di squid non vedo nulla di anomalo cosi' come quelli di havp. Io penso che possa essere un errore del disco, che pero' non vedo su syslog, per cui tutto cio' che interagisce con il disco (vpn, squid, login) smette di andare, mentre il traffico in forward passa, ma non mi spiego il comportamento della tastiera (provate un paio, stesso risultato). Qualche suggerimento prima di sostiruire l'HW ? (lo faro', ma mi piacerebbe capire cosa puo' essere). -- Bye Enrico I'd crawl over an acre of 'Visual This++' and 'Integrated Development That' to get to gcc, Emacs, and gdb. Thank you. -- Vance Petree, Virginia Power -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100306131527.gc11...@bestkevin.com --- End of Original Message --- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100306180447.m73...@corep.it
configurazione firewall.
Gestisco una serie di server pubblici e non. Attualmente gestisco il firewall con iptables in ogni singolo server. Certo, la cosa migliore sarebbe avere un firewall unico in una macchina attraverso la quale passa tutto il traffico dei server. In azienda utilizziamo netscreen come firewall. Siccome pero' non mi fido di chi gestisce tale firewall preferisco settarmi da me le regole per i miei server. Potete darmi una mano per cercare di trovare una soluzione ottimale che non sia quella di settare le regole su ogni singolo server? In azienda abbiamo una rete trust 192.168.0.0/16 suddivisa in varie sottoreti: 192.168.4.0, 192.168.5.0, ecc. e una rete DMZ 172.16.10.0/24 Ho vari server nella rete 192.168.4.0 e 192.168.5.0 e altrettanti nella rete 172.16.10.0, questi ultimi hanno anche ip publico. Sono tutti server virtuali con debian lenny e xen. Sarebbe forse possibile convogliare il traffico di queste macchine in un unica macchina nella quale installare un firewall? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: firewall open source
Ciao, cosa consigliate per un buon firewall con caratteristiche avanze di qos, traffic shaping, ids e ips ? Vorrei andare su un prodotto open source da installare su una macchina server ! uno dei firewall pronti all'uso più diffuso (e a mio avviso uno tra i più scalabili) è IPCop : http://www.ipcop.org/ che soddista tutte le tue richieste - e più. (elencato anche nella lista che Dario ha girato) http://en.wikipedia.org/wiki/List_of_Linux_router_or_firewall_distributions Implementare un firewall con l'uso di iptables, volendo oltretutto implementare qos, traffic shaping etc etc, richiede invece una buona conoscenza degli strumenti utilizzati... Molto dipende dal tempo a disposizione e se si tratta di una soluzione home / soho / altro. Saluti M -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: firewall open source
Il giorno 07 Luglio 2009 09.58, Mirco Piccinpic...@gmail.com ha scritto: uno dei firewall pronti all'uso più diffuso (e a mio avviso uno tra i più scalabili) è IPCop : http://www.ipcop.org/ che soddista tutte le tue richieste - e più. lo conosco molto bene, in effetti lo uso già da tanto tempo e mi trovo bene. Penso solo che sia una soluzione limitata per mancanza di aggiornamenti, e per situazioni soho. Mi piacerebbe trovare una soluzione che sia implementabile nel mondo soho ma anche nelle situazioni più grandi e dove le richieste sono molto più precise, tipo traffic shaping su ip o mac address, qos, etc Implementare un firewall con l'uso di iptables, volendo oltretutto implementare qos, traffic shaping etc etc, richiede invece una buona conoscenza degli strumenti utilizzati... Ho voglia di imparare ! -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
firewall open source
Buona sera a tutta la lista, cosa consigliate per un buon firewall con caratteristiche avanze di qos, traffic shaping, ids e ips ? Vorrei andare su un prodotto open source da installare su una macchina server ! Accetti consigli e suggerimenti !!! Cia -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: firewall open source
2009/7/6 xserver80 xserve...@gmail.com: Buona sera a tutta la lista, cosa consigliate per un buon firewall con caratteristiche avanze di qos, traffic shaping, ids e ips ? Vorrei andare su un prodotto open source da installare su una macchina server ! Accetti consigli e suggerimenti !!! Premettendo che io sono per i firewall costruiti a manina con l'uso sapiente di iptables (e tc nel caso si voglia fare QoS), googlando un po' ho visto questo: http://www.zeroshell.net/ Una lista la puoi trovare su http://en.wikipedia.org/wiki/List_of_Linux_router_or_firewall_distributions Comunque non posso fornirti nessuna esperienza in merito per quello che ho scritto sopra :-) -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: firewall open source
Il giorno 06 Luglio 2009 23.01, Dario Piloripengui...@gmail.com ha scritto: Premettendo che io sono per i firewall costruiti a manina con l'uso sapiente di iptables (e tc nel caso si voglia fare QoS), mi consigli qualche guida per imparare e seguire il tuo esempio ? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: firewall open source
2009/7/6 lccflc lcc...@infinito.it: Puoi provare Gufw (più amichevole) o Firestarter (un pò meno amichevole) che null'altro sono se non interfacce grafiche di iptables. Fungono bene entrambi ma Firestarter ha maggiori possibilità di configurazione ed altrettante possibilità di incasinarti il PC se non sai esattamente quello che fai. Con Gufw ottieni gli stessi risultati ma è mooolto più amichevole ed in italiano. Quelli non sono firewall per client? C'è una bella differenza tra un firewall per un client (definito personal firewall) e un firewall per un server. Senza contare che un server non dovrebbe aver installata alcuna interfaccia grafica. Poi non credo che supportino caratteristiche avanzate come QoS. -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: firewall open source
2009/7/6 xserver80 xserve...@gmail.com: mi consigli qualche guida per imparare e seguire il tuo esempio ? Per iptables potresti guardare (sono tutte ben fatte e in italiano): http://svn.truelite.it/documenti/firewall.pdf http://www.netfilter.org/documentation/HOWTO/it/packet-filtering-HOWTO.html http://openskill.info/release/openskills-linuxfirewall.pdf Per QoS non posso darti esperienza diretta in quanto non l'ho mai usato, però la guida per eccellenza sulla gestione del traffico è il Linux Advanced Routing Traffic Control: http://lartc.org/ -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OT : Firewall router ed AP
pac ha scritto: In casa ho tre pc che via ethernet, via netgear, via ap wireless si collegano verso un pc ipcop che ha gw il router alice Oggi c'è stato un black-out e al ritorno della luce l'AP ha cioccato e ne è uscito fumante e inutilizzabile. Ora dovrei acquistare un altro AP oppure dirigere come gw del pc wireless il router alice che funziona anche wireless, solo che salterei così la difesa di ipcop. Debbo comprare un altro AP oppure come posso fare per riconnettere alla rete il pc wireless e mantenere le difese ? essendo un router, la difesa e' intrinseca. IpCop non e' che sia in grado di fare molto di piu'. Certo, piu' c'e' meglio e', ma in condizioni normali la presenza di ipcop e' ininfluente (a meno che' non hai messo la macchina di gw in dmz). A mio avviso potresti usare tranquillamente il wifi del router e cosi' semplifichi lo schema e la vita. M. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
OT : Firewall router ed AP
In casa ho tre pc che via ethernet, via netgear, via ap wireless si collegano verso un pc ipcop che ha gw il router alice Oggi c'è stato un black-out e al ritorno della luce l'AP ha cioccato e ne è uscito fumante e inutilizzabile. Ora dovrei acquistare un altro AP oppure dirigere come gw del pc wireless il router alice che funziona anche wireless, solo che salterei così la difesa di ipcop. Debbo comprare un altro AP oppure come posso fare per riconnettere alla rete il pc wireless e mantenere le difese ? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problema regole iptables firewall di una lan
ora dopo lunghe peripezie sembra funzionare a dovere; spero di non aver fatto errori grossolani ma la rete va come volevo (pingo ed esco con il gateway .254) tranne per la connesione ftp (porta 21) dai client (nel range) all'esterno che mi fa fare il login ma quando lancio sul server remoto dir no mi ritorna nulla e mi da un errore only accept connection to 145.10.168.1 script iptables #!/bin/bash ## ATTIVO IL BRIDGE ifconfig eth0 down ifconfig eth1 down ifconfig eth0 0.0.0.0 ifconfig eth1 0.0.0.0 brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 sleep 1s; dhclient br0 echo bridge attivato.. sleep 1s; ## REGOLE IPTABLES # definisco le variabili che utilizzo WAN_IF=br0 LAN_IF=eth2 WAN_IP=145.10.168.1 CLIENT_RANGE=145.10.168.2-145.10.168.130 # ssh, internet e posta elettronica AMMINSTRAZIONE=145.10.168.87-145.10.168.90 # oracle e prog amministrazione SERVER=145.10.168.2 # per Remote desktop # delete all existing rules. iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # DEFAULT policies iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT # Allow established connections, and those not coming from the outside iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $WAN_IF -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p icmp -j ACCEPT # WAN_IF open ports iptables -A INPUT -i $WAN_IF -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i $WAN_IF -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i $WAN_IF -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i $WAN_IF -p tcp -m multiport --dports 53,80,443,8080 -j ACCEPT iptables -A FORWARD -i $WAN_IF -p tcp -m iprange --src-range $CLIENT_RANGE -m multiport --dports 21,22,23,25,110,115,993,995,389,1521,1526,1527,6667 -j ACCEPT # accesso dall'esterno a un specifico pc per Remote Desktop iptables -A INPUT -i $WAN_IF -p tcp -s $SERVER --dport 3389 -j ACCEPT iptables -A INPUT -i $WAN_IF -p tcp -d $SERVER --dport 3389 -j ACCEPT iptables -A FORWARD -i $WAN_IF -p tcp -s $SERVER --dport 3389 -j ACCEPT iptables -A FORWARD -i $WAN_IF -p tcp -d $SERVER --dport 3389 -j ACCEPT # LAN_IF open ports iptables -A INPUT -i $LAN_IF -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i $LAN_IF -p tcp --dport 8080 -j ACCEPT # enable ping iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT # Masquerade. iptables -t nat -A POSTROUTING -o $WAN_IF -j MASQUERADE # to allow ip forwarding echo 1 /proc/sys/net/ipv4/ip_forward -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problema regole iptables firewall di una lan
risolto con un banale modulo del kernel che ho scoperto di dover attivare: # modprobe nf_conntrack_ftp ..e io che mi accanivo sulle regole :) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problema regole iptables firewall di una lan
Ciao dario la soluzione brigde sembra funzionare come sperato/voluto.. sembra anche piu' chiara a livello concettuale per me. Ora accedo anche al server http (problema precedente..) e non devo modificare nulla nella tabella di routing. Rimane sempre la non possibilità dalla rete eth1 (dove le porte effettivamente aperte danno il servizio richiesto..) di pingare il gateway .254 quasi che il ping non lo faccia fowardare.. e quindi sono costretto sia a livello dns che di gateway a impostare il firewall.. forse devo aggiungere una regola a iptables? vedo la luce :) script per il bridge. #!/bin/bash #tiro giu' le intefacce ifconfig eth0 down ifconfig eth1 down ifconfig eth0 0.0.0.0 ifconfig eth1 0.0.0.0 #creo il bridge ta le due interessate brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 #ip statico #ifconfig br0 ip firewall netmask 255.255.255.0 up #etc. con settaggi anche per il resolv.conf # ip dinamico da dhcp server dhclient br0 script iptables #!/bin/bash # delete all existing rules. iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # DEFAULT policies iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT # Allow established connections, and those not coming from the outside iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i br0 -m state --state ESTABLISHED,RELATED -j ACCEPT #eth0 iptables -A INPUT -i br0 -p tcp --dport 22 -j ACCEPT # eth1 open ports iptables -A INPUT -i br0 -p tcp -m multiport --dports 22,80,443,8080,25,110,115,995 -j ACCEPT iptables -A INPUT -i br0 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i br0 -p tcp -m multiport --dports 22,80,443,8080,25,110,115,995 -j ACCEPT iptables -A FORWARD -i br0 -p udp --dport 53 -j ACCEPT # eth2 open ports iptables -A INPUT -i eth2 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth2 -p tcp --dport 8080 -j ACCEPT # enable ping iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT # Masquerade. iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE # to allow ip forwarding echo 1 /proc/sys/net/ipv4/ip_forward -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problema regole iptables firewall di una lan
On Wed, Jan 7, 2009 at 12:15, itom itom...@yahoo.it wrote: Ciao dario la soluzione brigde sembra funzionare come sperato/voluto.. sembra anche piu' chiara a livello concettuale per me. Ora accedo anche al server http (problema precedente..) e non devo modificare nulla nella tabella di routing. Rimane sempre la non possibilità dalla rete eth1 (dove le porte effettivamente aperte danno il servizio richiesto..) di pingare il gateway .254 quasi che il ping non lo faccia fowardare.. e quindi sono costretto sia a livello dns che di gateway a impostare il firewall.. forse devo aggiungere una regola a iptables? vedo la luce :) Allora, primaditutto prova a cambiare, come ti avevo se non sbaglio già detto, la regola di masquerade in modo che mascheri gli ip solo di chi entra da eth2 (l'opzione -i non funziona con POSTROUTING, devi usare -s rete eth2/netmask -d ! rete eth2/netmask). Poi manca la regola per ICMP in forward: iptables -A FORWARD -p icmp -j ACCEPT Questa è la regola più banale che c'è, poi se vuoi mettere restrizioni fai pure :-) -- Dario Pilori -Linux registered user #406515 -Debian GNU/Linux user
Re: problema regole iptables firewall di una lan
È un bel casino... Non riesci a impostare su eth1 una rete diversa da quella su eth0?? Perché con la stessa rete succedono questi casini, dove il kernel non sa più dove mandare ciascun pacchetto. Onestamente non saprei esattamente come risolvere la situazione non avendo mai lavorato in situazioni simili, però posso provarci. Per me potresti mettere come rounting di tutta la rete 145.10.168.0/24 eth1, e mettere su eth0 il routing solo degli host connessi lì. Per esempio, aggiungi manualmente il router e i server (sono su eth0, no?). Questo in maniera tale che lui per cercare un host in quella rete vada sempre su eth1, salvo nei casi in cui sia un host presente su eth0, e allora va lì perché l'hai impostato manualmente. Spero di essere stato chiaro :-) -- Dario Pilori -Linux registered user #406515 -Debian GNU/Linux user un'alternativa (prendendo spunto da un altro post) potrebbe essere quella di configurare il proxy in modo trasparente ed abilitare la 80 per eth2 e le altre porte per la eth1?? dovrebbero così evitarsi i problemi di foward/routing -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problema regole iptables firewall di una lan
On Fri, Jan 2, 2009 at 20:25, itom itom...@yahoo.it wrote: Dario grazie alle tue dritte sembra funzionare, ma zoppica ancora; mi spiego: la tabella di routing è così: # ip route 145.10.168.0/24 dev eth0 proto kernel scope link src 145.10.168.1 145.10.168.0/24 dev eth1 proto kernel scope link src 145.10.168.100 192.168.106.0/24 dev eth2 proto kernel scope link src 192.168.106.1 default via 145.10.168.254 dev eth0 per far si che funzioni anche attraverso il MASQ sulla 80(ovvero per la rete eth1) devo settare il routing in questo modo: # ip route del 145.10.168.0/24 dev eth0 proto kernel scope link src 145.10.168.1 # ip route add 145.10.168.254/32 dev eth0 src 145.10.168.1 con questi ip route mi restituisce: 145.10.168.254 dev eth0 scope link src 145.10.168.1 145.10.168.0/24 dev eth1 proto kernel scope link src 145.10.168.100 192.168.106.0/24 dev eth2 proto kernel scope link src 192.168.106.1 default via 145.10.168.254 dev eth0 Il problema e' che si navigo su internet come voluto (da eth1) ma non riesco a raggiungere piu' (neanche dal firewall stesso, ne ping ne ssh ne http) degli host allo stesso livello; infatti sia il firewall che altri 2 server (145.10.168.2 e 145.10.168.3) sono connessi allo stesso gateway 145.10.168.254 e dopo questi due comandi non li raggiungo piu'. # netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 145.10.168.00.0.0.0 255.255.255.0 U 0 0 0 eth0 145.10.168.00.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.106.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 0.0.0.0 145.10.168.254 0.0.0.0 UG 0 0 0 eth0 È un bel casino... Non riesci a impostare su eth1 una rete diversa da quella su eth0?? Perché con la stessa rete succedono questi casini, dove il kernel non sa più dove mandare ciascun pacchetto. Onestamente non saprei esattamente come risolvere la situazione non avendo mai lavorato in situazioni simili, però posso provarci. Per me potresti mettere come rounting di tutta la rete 145.10.168.0/24 eth1, e mettere su eth0 il routing solo degli host connessi lì. Per esempio, aggiungi manualmente il router e i server (sono su eth0, no?). Questo in maniera tale che lui per cercare un host in quella rete vada sempre su eth1, salvo nei casi in cui sia un host presente su eth0, e allora va lì perché l'hai impostato manualmente. Spero di essere stato chiaro :-) -- Dario Pilori -Linux registered user #406515 -Debian GNU/Linux user
Re: problema regole iptables firewall di una lan
On Thu, Jan 1, 2009 at 23:43, itom itom...@yahoo.it wrote: ciao a tutti con iptables ho creato il seguente script per la situazione descritta da questa immagine: . http://img33.picoodle.com/img/img33/3/1/1/f_lanm_1233f0a.jpg dove ho 2 sottoreti collegate dalle interfacce eth1 e eth2 dove: . eth1 abilitata alla navigazione diretta e possibilità di accesso remoto ad alcuni servizi (come mail, etc.. vedi porte aperte) . eth2 abilitata solamente alla navigazione tramite proxy impostato nel browser sulla porta 8080 lo script lo potete trovare qui: http://pastebin.com/m416d8f6d Mentre per eth2 tutto funziona come vorrei (si naviga solo se si mette il proxy) per eth1 nonostante ho aperto le porte 80 443 etc.. e riesco solo a navigare via proxy (mentre io vorrei in questo caso un accesso diretto); in più non riesco a pingare il gateway .254 Ovviamente c'è un errore ben piu' grave e per questo chiedo il vostro aiuto. Mi interessa in pratica solamente uscire e per adesso dall'interno della sottorete, in eth1 direttamente e in eth2 solo via proxy. grazie per l'attenzione Allora, allora... Vedendo lo script ho visto alcuni errori; regole che secondo me non fanno quello che dici te. Allora, la prima: iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Questa permette il transito di pacchetti inerenti a connessioni già stabilite da internet alla rete locale libera. Però non permette il contrario. Se io mi connetto ad un server HTTP, quando invio una richiesta HTTP, questa non viene accettata dal firewall perché è sì inerente alla connessione, ma va nel senso opposto. Per ottenere quello che vuoi te devi aggiungerne un'altra che fa il contrario, come: iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Andando avanti, ho visto che non c'è nessuna regola in FORWARD, ma tutte in input. Per esempio: iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 115 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 995 -j ACCEPT Queste regole permettono ai client in eth1 di collegarsi SOLO AL FIREWALL su quelle porte, ma non consentono il transito di pacchetti ad altri computer con destinatari quelle porte. A meno che tu non abbia installato sul firewall un software che fa il redirect di queste porte (però per quello devi inserire anche delle regole di DNAT). Quindi, per fare funzionare tutto, devi sì aprire le porte del firewall per esempio per SSH, per il proxy,... insomma, per i servizi che ti servono, e poi aprire le porte per il transito di pacchetti. Quindi puoi aggiungere una regola tipo iptables -A FORWARD -i eth1 -p tcp -m multiport --dports 22,80,443,25,110,115,995 -j ACCEPT E così dovrebbe funzionare tutto. Spero di essere stato chiaro :-) -- Dario Pilori -Linux registered user #406515 -Debian GNU/Linux user
Re: problema regole iptables firewall di una lan
ciao dario e grazie per la risposta; ricapitolando con i tuoi consigli lo script adesso è così, ma purtroppo non sembra funzionare, sotto metto anche il risultato di un iptables -L -v Per adesso solo da eth2 attraverso l'uso del proxy riesco a connettermi ad internet, anche se lo imposto da eth1 funziona; mentre se lo disabilito non va ...script #!/bin/bash # delete all existing rules. iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # DEFAULT policies iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT # Allow established connections, and those not coming from the outside iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # eth1 open ports iptables -A INPUT -i eth1 -p tcp -m multiport --dports 22,80,8080,443,25,110,115,995 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp -m multiport --dports 22,80,8080,443,25,110,115,995 -j ACCEPT # eth2 open ports iptables -A INPUT -i eth2 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth2 -p tcp --dport 8080 -j ACCEPT # enable ping iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT # Masquerade. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # to allow ip forwarding echo 1 /proc/sys/net/ipv4/ip_forward .. iptables -L -v ... Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo any anywhere anywhere 0 0 ACCEPT all -- anyany anywhere anywherestate RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth1 any anywhere anywheremultiport dports ssh,www,http- alt,https,smtp,pop3,sftp,pop3s 0 0 ACCEPT tcp -- eth2 any anywhere anywheretcp dpt:ssh 0 0 ACCEPT tcp -- eth2 any anywhere anywheretcp dpt:http-alt 0 0 ACCEPT icmp -- anyany anywhere anywhereicmp echo-reply 0 0 ACCEPT icmp -- anyany anywhere anywhereicmp echo-request limit: avg 1/sec burst 5 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth0 eth1anywhere anywherestate RELATED,ESTABLISHED 0 0 ACCEPT all -- eth1 eth0anywhere anywherestate RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth1 any anywhere anywheremultiport dports ssh,www,http- alt,https,smtp,pop3,sftp,pop3s Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problema regole iptables firewall di una lan
On Fri, Jan 2, 2009 at 12:06, itom itom...@yahoo.it wrote: ciao dario e grazie per la risposta; ricapitolando con i tuoi consigli lo script adesso è così, ma purtroppo non sembra funzionare, sotto metto anche il risultato di un iptables -L -v Per adesso solo da eth2 attraverso l'uso del proxy riesco a connettermi ad internet, anche se lo imposto da eth1 funziona; mentre se lo disabilito non va Ehm, pardon, ho dimenticato DNS :-) Dns usa UDP, porta 53: iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT -- Dario Pilori -Linux registered user #406515 -Debian GNU/Linux user
Re: problema regole iptables firewall di una lan
Dario grazie alle tue dritte sembra funzionare, ma zoppica ancora; mi spiego: la tabella di routing è così: # ip route 145.10.168.0/24 dev eth0 proto kernel scope link src 145.10.168.1 145.10.168.0/24 dev eth1 proto kernel scope link src 145.10.168.100 192.168.106.0/24 dev eth2 proto kernel scope link src 192.168.106.1 default via 145.10.168.254 dev eth0 per far si che funzioni anche attraverso il MASQ sulla 80(ovvero per la rete eth1) devo settare il routing in questo modo: # ip route del 145.10.168.0/24 dev eth0 proto kernel scope link src 145.10.168.1 # ip route add 145.10.168.254/32 dev eth0 src 145.10.168.1 con questi ip route mi restituisce: 145.10.168.254 dev eth0 scope link src 145.10.168.1 145.10.168.0/24 dev eth1 proto kernel scope link src 145.10.168.100 192.168.106.0/24 dev eth2 proto kernel scope link src 192.168.106.1 default via 145.10.168.254 dev eth0 Il problema e' che si navigo su internet come voluto (da eth1) ma non riesco a raggiungere piu' (neanche dal firewall stesso, ne ping ne ssh ne http) degli host allo stesso livello; infatti sia il firewall che altri 2 server (145.10.168.2 e 145.10.168.3) sono connessi allo stesso gateway 145.10.168.254 e dopo questi due comandi non li raggiungo piu'. # netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 145.10.168.00.0.0.0 255.255.255.0 U 0 0 0 eth0 145.10.168.00.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.106.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 0.0.0.0 145.10.168.254 0.0.0.0 UG 0 0 0 eth0 script iptables -- #!/bin/bash # delete all existing rules. iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # DEFAULT policies iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT # Allow established connections, and those not coming from the outside iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # eth1 open ports iptables -A INPUT -i eth1 -p tcp -m multiport --dports 22,80,8080,443,25,110,115,995 -j ACCEPT iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp -m multiport --dports 22,80,8080,443,25,110,115,995 -j ACCEPT iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT # eth2 open ports iptables -A INPUT -i eth2 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth2 -p tcp --dport 8080 -j ACCEPT # enable ping iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT # Masquerade iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source indirizzo ip # to allow ip forwarding echo 1 /proc/sys/net/ipv4/ip_forward -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
problema regole iptables firewall di una lan
ciao a tutti con iptables ho creato il seguente script per la situazione descritta da questa immagine: . http://img33.picoodle.com/img/img33/3/1/1/f_lanm_1233f0a.jpg dove ho 2 sottoreti collegate dalle interfacce eth1 e eth2 dove: . eth1 abilitata alla navigazione diretta e possibilità di accesso remoto ad alcuni servizi (come mail, etc.. vedi porte aperte) . eth2 abilitata solamente alla navigazione tramite proxy impostato nel browser sulla porta 8080 lo script lo potete trovare qui: http://pastebin.com/m416d8f6d Mentre per eth2 tutto funziona come vorrei (si naviga solo se si mette il proxy) per eth1 nonostante ho aperto le porte 80 443 etc.. e riesco solo a navigare via proxy (mentre io vorrei in questo caso un accesso diretto); in più non riesco a pingare il gateway .254 Ovviamente c'è un errore ben piu' grave e per questo chiedo il vostro aiuto. Mi interessa in pratica solamente uscire e per adesso dall'interno della sottorete, in eth1 direttamente e in eth2 solo via proxy. grazie per l'attenzione ps: scusate eventuali doppi ma ho dei problemi ad inviare mail.. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: prestazioni firewall/router
Intanto che trasferisci i file, prova a monitorare sul server l'uso di CPU, RAM e I/O dei dischi usando htop e iotop. grazie per il consiglio. già ho controllato la CPU e sembra ci sia un utilizzo normale. appena posso rifaccio i test e controllo htop e iotop Fabio -- Dott. Fabio Marcone 2T srl Telefono+39 - 0871- 540154 Fax +39 - 0871- 571594 Email fabio.marcone(AT)duet.it Indirizzo Viale B. Croce 573 66013 Chieti Scalo (CH) GNU/Linux registered user #400424 -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
prestazioni firewall/router
ciao a tutti, ho un comportamento strano di un firewall/router debian etch con kernel 2.6.26 (ricompilato): dopo qualche giorno di funzionamento (in produzione), degradano le prestazioni di rete (i test sono effettuati mediante scambio file ftp tra 2 macchine comunicanti mediante il router debian in questione su protocollo ethernet 100 Mbit). I test mostrano un utilizzo di banda del 70/80% nei primi giorni di funzionamento, e un degrado delle prestazioni (fino ad utilizzo del 30%) successivamente. Un riavvio della macchina risolve il problema. sulla macchina sono in esecuzione diversi servizi (posta, proxy,...) ma fermando uno alla volta tali servizi durante i test non si sono verificati variazioni apprezzabili dei risultati. non ci sono errori tx/rx sulle interfacce nè altri tipi di errori in dmesg o syslog. non so che pesci prendere... qualche consiglio? Grazie, Fabio -- Dott. Fabio Marcone 2T srl Telefono+39 - 0871- 540154 Fax +39 - 0871- 571594 Email fabio.marcone(AT)duet.it Indirizzo Viale B. Croce 573 66013 Chieti Scalo (CH) GNU/Linux registered user #400424 -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: prestazioni firewall/router
On Thu, Nov 27, 2008 at 13:05, Fabio Marcone [EMAIL PROTECTED] wrote: ciao a tutti, ho un comportamento strano di un firewall/router debian etch con kernel 2.6.26 (ricompilato): dopo qualche giorno di funzionamento (in produzione), degradano le prestazioni di rete (i test sono effettuati mediante scambio file ftp tra 2 macchine comunicanti mediante il router debian in questione su protocollo ethernet 100 Mbit). I test mostrano un utilizzo di banda del 70/80% nei primi giorni di funzionamento, e un degrado delle prestazioni (fino ad utilizzo del 30%) successivamente. Un riavvio della macchina risolve il problema. sulla macchina sono in esecuzione diversi servizi (posta, proxy,...) ma fermando uno alla volta tali servizi durante i test non si sono verificati variazioni apprezzabili dei risultati. non ci sono errori tx/rx sulle interfacce nè altri tipi di errori in dmesg o syslog. non so che pesci prendere... qualche consiglio? Grazie, Fabio Intanto che trasferisci i file, prova a monitorare sul server l'uso di CPU, RAM e I/O dei dischi usando htop e iotop. -- Dario Pilori -Linux registered user #406515 -Debian GNU/Linux user
Problema di firewall o altro?
Ciao a tutti! Sono un paio di giorni che cerco di capire dove finisce una connessione ssh che sembrerebbe sparire nella rete. Di seguito allego i dump, nei log non c'è alcuna traccia di IP o mac add delle macchine sorgente e/o destinaz, quindi suppongo che non le droppi ( dato che c'è un log prima di ogni drop ). Firewall/Gateway che dnatta verso una macchina interna ( 192.168.0.100 ) le chiamate sulla 22. la regola è questa $IPT -t nat -I PREROUTING -i eth3 -d x.x.x.x -p tcp --dport 22 -j DNAT --to-destination 192.168.0.100:22 Questo il dump: 2 108 DNAT tcp -- eth3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:192.168.0.100:22 Come si vede la chiamata passa alla rete interna ma, non avendo il rootuid sulla macchina di dest. non riesco a vedere se arriva effettivamente o meno. PS: avete idea del perchè se, nel mio script, eseguo la regola in append ( $IPT -t nat -A PREROUTING ) non matcha mentre se la inserisco ( -I ) funziona? -- ## /\ _/ \_ / \ /| o o |\ L Debianisti inc.(appucciati) ## Meglio Regnare All'inferno Che Servire In Paradiso signature.asc Description: Questa è una parte del messaggio firmata digitalmente
Re: Problema VPN PPTP con Router Firewall 3 WAN
Il giorno mar, 02/10/2007 alle 21.40 +0200, Dario Pilori ha scritto: [EMAIL PROTECTED] ha scritto: Funziona tutto regolarmente, ma mi rimane soltanto il problema che quando esco dalla rete LAN O DMZ per entrare in una rete VPN PPTP, rimane su Verifica nome utente e password ecc. per poi darmi errore... allego sotto lo script in dettaglio: Domanda banale: non è che pptp usa anche connessioni UDP? Non ho mai lavorato con pptp, però sulla tabella degli assegnamenti delle porte IANA, pptp usa la porta 1723 sia TCP che UDP. Ho provato a inserire ha configurare la 1723 sia in tcp che in udp ma il problema si presenta ugualmente. -- Email.it, the professional e-mail, gratis per te: http://www.email.it/f Sponsor: Non perderti nella giungla di facili promesse, Logos ti da credito sempre! * Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=6559d=4-10
Re: Problema VPN PPTP con Router Firewall 3 WAN
[EMAIL PROTECTED] ha scritto: Funziona tutto regolarmente, ma mi rimane soltanto il problema che quando esco dalla rete LAN O DMZ per entrare in una rete VPN PPTP, rimane su Verifica nome utente e password ecc. per poi darmi errore... allego sotto lo script in dettaglio: Domanda banale: non è che pptp usa anche connessioni UDP? Non ho mai lavorato con pptp, però sulla tabella degli assegnamenti delle porte IANA, pptp usa la porta 1723 sia TCP che UDP. smime.p7s Description: S/MIME Cryptographic Signature
Problema VPN PPTP con Router Firewall 3 WAN
Salve a tutta la lista, Ho configurato un Router Firewall con 3 WAN che vengono usate insieme e smistano il traffico della LAN e della DMZ come in figura: ++/ +-+ WAN 1+--- __ | || / ___/ \_ +--+---+ ++| _/\__ | ETH0 | / / \ ETH3| | ++| | LAN - | ETH1||| \_ __/| Linux router |-+ WAN 2+| Internet \__ __/ | | ||| \__ / | | ++| ---+ ETH2 | | | ETH4 +--+---+ ++| | | || \ | +-+WAN 3 +--- | || | | ++\ +--+---+ DMZ +--+---+ Funziona tutto regolarmente, ma mi rimane soltanto il problema che quando esco dalla rete LAN O DMZ per entrare in una rete VPN PPTP, rimane su Verifica nome utente e password ecc. per poi darmi errore... allego sotto lo script in dettaglio: # ifconfig -a eth0 inet addr:10.0.0.2 Bcast:10.0.0.255 Mask:255.255.255.0 eth1 inet addr:172.168.0.2 Bcast:172.168.1.255 Mask:255.255.255.0 eth2 inet addr:10.10.10.2 Bcast:10.10.10.255 Mask:255.255.255.0 eth3 inet addr:192.168.16.2 Bcast:192.168.16.255 Mask:255.255.255.0 eth4 inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0 ### scripT ## #! /bin/bash iptables=/sbin/iptables ip=/sbin/ip # SCHEDE DI RETE wan1=eth0 wan2=eth1 wan3=eth2 lan=eth3 dmz=eth4 net_lan=192.168.16.0/24 net_dmz=192.168.1.0/24 net_wan1=10.0.0.0/24 net_wan2=172.168.0.0/29 net_wan3=10.10.10.0/30 # SERVER DMZ dmz_mail=192.168.1.3 dmz_web=192.168.1.4 # GATEWAY GW1=10.0.0.1 GW2=172.168.0.1 GW3=10.10.10.1 # TABELLE T1=TELECOM T2=FASTWEB1 T3=FASTWEB2 # SERVER DMZ dmz_mail=192.168.1.3 dmz_web=192.168.1.4 # REGOLE IPROUTE ip rule add from 192.168.16.28 table $T1 ip rule add from 192.168.16.28 table $T2 ip rule add from 127.0.0.1/8 table $T2 ip route add $GW1 dev $wan1 table $T1 ip route add default dev $wan1 via $GW1 table $T1 ip route add $GW2 dev $wan2 table $T2 ip route add default dev $wan2 via $GW2 table $T2 ip route add $GW3 dev $wan3 table $T3 ip route add default dev $wan3 via $GW3 table $T3 # REGOLE IPTABLES echo 1 /proc/sys/net/ipv4/ip_forward iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # NAT iptables -t nat -A POSTROUTING -s $net_lan -o $wan1 -j MASQUERADE iptables -t nat -A POSTROUTING -s $net_lan -o $wan2 -j MASQUERADE iptables -t nat -A POSTROUTING -s $net_lan -o $wan3 -j MASQUERADE iptables -t nat -A POSTROUTING -s $net_dmz -o $wan1 -j MASQUERADE iptables -t nat -A POSTROUTING -s $net_dmz -o $wan2 -j MASQUERADE iptables -t nat -A POSTROUTING -s $net_dmz -o $wan3 -j MASQUERADE iptables -N lan_dmz #da eth3 a eth4 iptables -N lan_wan1#da eth3 a eth0 iptables -N lan_wan2#da eth3 a eth1 iptables -N lan_wan3#da eth3 a eth2 iptables -N dmz_lan #da eth4 a eth3 iptables -N dmz_wan1#da eth4 a eth0 iptables -N dmz_wan2#da eth4 a eth1 iptables -N dmz_wan3#da eth4 a eth2 iptables -N wan1_lan#da eth0 a eth3 iptables -N wan1_dmz#da eth0 a eth4 iptables -N wan1_wan2 #da eth0 a eth1 iptables -N wan1_wan3 #da eth0 a eth2 iptables -N wan2_lan#da eth1 a eth3 iptables -N wan2_dmz#da eth1 a eth4 iptables -N wan3_lan#da eth2 a eth3 iptables -N wan3_dmz#da eth2 a eth4 iptables -A FORWARD -i $lan -o $dmz -j lan_dmz iptables -A FORWARD -i $lan -o $wan1 -j lan_wan1 iptables -A FORWARD -i $lan -o $wan2 -j lan_wan2 iptables -A FORWARD -i $lan -o $wan3 -j lan_wan3 iptables -A FORWARD -i $dmz -o $lan -j dmz_lan iptables -A FORWARD -i $dmz -o $wan1 -j dmz_wan1 iptables -A FORWARD -i $dmz -o $wan2 -j dmz_wan2 iptables -A FORWARD -i $dmz -o $wan3 -j dmz_wan3 iptables -A FORWARD -i $wan1 -o $lan -j wan1_lan iptables -A FORWARD -i $wan1 -o $dmz -j wan1_dmz iptables -A FORWARD -i $wan1 -o $wan2 -j wan1_wan2 iptables -A FORWARD -i $wan1 -o $wan3 -j wan1_wan3 iptables -A FORWARD -i $wan2 -o $lan -j wan2_lan iptables -A FORWARD -i $wan2 -o $dmz -j wan2_dmz iptables -A FORWARD -i $wan3 -o $lan -j wan3_lan iptables -A FORWARD -i $wan3 -o $dmz -j wan3_dmz # REGOLE LAN_DMZ iptables
Re: opzioni kernel firewall
Ciao a tutti, [...] come faccio ad ogni avvio di Etch a essere sicuro che siano caricate? Se ricordo bene ho fatto così: Inserite le regole per il netfilter in un file. Depositato il file in /etc/init.d e reso eseguibile Utilizzato update-rc.d per fare in modo che venga chiamato al boot. Gli ho dato il numero successivo al dhcp Spero di essere stato abbastanza chiaro Luigi
Re: opzioni kernel firewall
Scusate ragazzi se riprendo solo ora questo vecchio post ma ho un dubbio Se imposto queste regole a iptables un firewall molto elementare potrebbe essere questo: iptables -F iptables -t mangle -F iptables -t nat -F iptables -X iptables -t mangle -X iptables -t nat -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -f -j DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -f -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 4662 -j ACCEPT iptables -A INPUT -p udp --dport 4665 -j ACCEPT iptables -A INPUT -p udp --dport 4672 -j ACCEPT come faccio ad ogni avvio di Etch a essere sicuro che siano caricate? Grazie a tutti -- -= Nic =- Quando ti trovi d'accordo con la maggioranza,e' il momento di fermarti a riflettere-=Mark Twain=- Amico di Emergency_2007 Linux registered user # 380338 Linux registered machine # 283289 powered by Debian/GnuLinux Etch 4.0 Msn:[EMAIL PROTECTED] -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: opzioni kernel firewall
Ciao, [...] Io però non uso dhcp.quindi non devo fare nulla giusto? update-rc.d lo devi eseguire in ogni caso, altrimenti lo script non viene chiamato. Il numero che darai serve ad assegnare un posto nella sequenza con cui vengono eseguiti i vari script: secondo me conviene eseguire il fw dopo aver configurato la rete, ma potrei anche sbagliare... La man-page è certamente più chiara di me ed é molto corta. Ci sono anche alcuni esempi. Devo scappare ora, ciao a tutti Luigi
Re: opzioni kernel firewall
luigi ha scritto: Ciao a tutti, [...] come faccio ad ogni avvio di Etch a essere sicuro che siano caricate? Se ricordo bene ho fatto così: Inserite le regole per il netfilter in un file. Depositato il file in /etc/init.d e reso eseguibile Utilizzato update-rc.d per fare in modo che venga chiamato al boot. Gli ho dato il numero successivo al dhcp Spero di essere stato abbastanza chiaro Luigi Io però non uso dhcp.quindi non devo fare nulla giusto? Grazie e ciao -- -= Nic =- Quando ti trovi d'accordo con la maggioranza,e' il momento di fermarti a riflettere-=Mark Twain=- Amico di Emergency_2007 Linux registered user # 380338 Linux registered machine # 283289 powered by Debian/GnuLinux Etch 4.0 Msn:[EMAIL PROTECTED] -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: opzioni kernel firewall
luigi wrote: secondo me conviene eseguire il fw dopo aver configurato la rete, ma potrei anche sbagliare... Non ricordo dove l'avevo letto, comunque mi sembra che il posto dedicato per questo tipo di attività sia /etc/network/if-up.d/ Basta mettere lo script lì dentro, renderlo eseguibile, e viene eseguito non appena l'interfaccia di rete è pronta per essere usata. Lucio. -- Virtual Bit di Lucio Crusca via Isonzo, 5 10069 - Villar Perosa (TO) P.IVA 09534960019 http://www.sulweb.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: semplice firewall dal Securing Debian
Dario Pilori ha scritto: Manlio Perillo ha scritto: [...] 3) si può dire a iptables di redirigere i log da qualche altra parte, al posto di syslog? Certo, puoi utilizzare Ulog. Installa ulogd (è nei repository Etch) e con iptables, al posto di utilizzare -j LOG utilizza -j ULOG. Ulog di default salva i log nel classico formato testuale in un file nella cartella /var/log/ulog , però installando i vari plugin (sempre nei repository di Etch) e configurandoli nel file di configurazione di ulogd è possibile salvare i report nel formato PCAP, o in database MySQL, PostgreSQL e SQLite. Ottimo, grazie. In syslog generava troppo rumore. Saluti Manlio Perillo -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: semplice firewall dal Securing Debian
Dario Pilori ha scritto: Manlio Perillo ha scritto: [...] 3) si può dire a iptables di redirigere i log da qualche altra parte, al posto di syslog? Certo, puoi utilizzare Ulog. Installa ulogd (è nei repository Etch) e con iptables, al posto di utilizzare -j LOG utilizza -j ULOG. [...] C'è qualche problema. Ottengo: ip_tables: ULOG target: invalid size 56 != 44 e la regola non viene impostata. Ho trovato un report in https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=559 ma il server ha dei problemi. Saluti e grazie Manlio Perillo -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: semplice firewall dal Securing Debian
Manlio Perillo ha scritto: Saluti. Mi occorre un semplice firewall per un server, ed ho preso uno script che si trova nel Securing Debian: http://www.us.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s5.14.3.2 Ho provato ad usare questo firewall su un server virtuale, con Xen, ma ottengo: Note: /etc/modules.conf is more recent than /lib/modules/2.6.18-8.1.4.el5xen/modules.dep modprobe: QM_MODULES: Function not implemented modprobe: QM_MODULES: Function not implemented modprobe: Can't locate module ip_tables iptables v1.3.6: can't initialize iptables table `nat': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Lo stesso per le tabelle 'filter' e 'mangle' Quale può essere il problema? Grazie Manlio Perillo -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[RISOLTO] Re: semplice firewall dal Securing Debian
Manlio Perillo ha scritto: Manlio Perillo ha scritto: Saluti. Mi occorre un semplice firewall per un server, ed ho preso uno script che si trova nel Securing Debian: http://www.us.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s5.14.3.2 Ho provato ad usare questo firewall su un server virtuale, con Xen, ma ottengo: Note: /etc/modules.conf is more recent than /lib/modules/2.6.18-8.1.4.el5xen/modules.dep modprobe: QM_MODULES: Function not implemented modprobe: QM_MODULES: Function not implemented modprobe: Can't locate module ip_tables iptables v1.3.6: can't initialize iptables table `nat': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Ho risolto installando il package module-init-tools. Per la cronaca, mi sono pure chiuso fuori dal server :). Ho invocato /etc/init.d/myfirewall stop, invece che start... Saluti Manlio Perillo -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: minimal firewall computer
Ari Constancio ha scritto: Hi, Wireless routers such as the venerable Linksys WRT54GL can use 3rd-party firmware like OpenWRT and voilá... instant Linux router (with iptables and such). Ari Constancio but before the dd-wrt you must put a modem defending alone in front of the attackers his ip position ... i think it's a better solution the Hasler solution :-) isp - modem - debian-bastille-tripwire-yourlan+wrt54gl:-) Luigi -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: opzioni kernel firewall
un firewall molto elementare potrebbe essere questo: iptables -F iptables -t mangle -F iptables -t nat -F iptables -X iptables -t mangle -X iptables -t nat -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -f -j DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -f -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 4662 -j ACCEPT iptables -A INPUT -p udp --dport 4665 -j ACCEPT iptables -A INPUT -p udp --dport 4672 -j ACCEPT Io ho anche trovato questo http://linux.p2pforum.it/wiki/Script_di_base_per_configurare_il_firewall_Netfilter e seguito la guida pari pari.Però al riavvio della Debian la rete era praticamente bloccata.Non funzionava nemmano amsn.Secondo voi è valido o sbaglio qualcosa io? Ciao a tutti -- -= Nic =- Quando ti trovi d'accordo con la maggioranza,e' il momento di fermarti a riflettere-=Mark Twain=- Amico di Emergency_2007 Linux registered user # 380338 Linux registered machine # 283289 powered by Debian/GnuLinux Etch 4.0 Msn:[EMAIL PROTECTED] Generazione Attiva member 0235 -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: opzioni kernel firewall
alex ha scritto: Alle giovedì 21 giugno 2007, Nic ha scritto: Ciao a tutti.Un po di tempo fa in lista si era parlato di sicurezza.In particolare si consigliava a chi aveva il firewall sul router di lasciare comunque iptables anche sulla Debian.Mi potreste indicare quali opzioni nel kernel dal 2.6.18 in su bisogna selezionare per avere Se usi un precompilato debian nessuna: ha già tutto su. Installa però il pacchetto iptables. A. Mi accodo alla richiesta... Se invece del precompilato Debian, utilizzassi un kernel vanilla ricompilato, quali moduli sono necessari e quali invece si possono eliminare tranquillamente? Immagino che tutto dipenda dall'uso a cui è destinato il pc. Nel mio caso, si tratta di un desktop destinato ad uso domestico che non farà da firewall a monte della una rete ma verrà utilizzato per la navigazione, posta, filesharing, ospiterà un piccolo web-server.. Grazie!
Re: opzioni kernel firewall
Mi accodo alla richiesta... Se invece del precompilato Debian, utilizzassi un kernel vanilla ricompilato, quali moduli sono necessari e quali invece si possono eliminare tranquillamente? Immagino che tutto dipenda dall'uso a cui è destinato il pc. Nel mio caso, si tratta di un desktop destinato ad uso domestico che non farà da firewall a monte della una rete ma verrà utilizzato per la navigazione, posta, filesharing, ospiterà un piccolo web-server.. Grazie! Chiedo scusa a tutti ma mi sono accorto che c'è tutto negli appunti di informatica libera!! Anche per te Gianfranco trovi tutto nel capitolo 72 riferito al kernel Linux. Ciao -- -= Nic =- Quando ti trovi d'accordo con la maggioranza,e' il momento di fermarti a riflettere-=Mark Twain=- Amico di Emergency_2007 Linux registered user # 380338 Linux registered machine # 283289 powered by Debian/GnuLinux Etch 4.0 Msn:[EMAIL PROTECTED] Generazione Attiva member 0235 -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: opzioni kernel firewall
Nic wrote: 4662 e 4672 quelle di Amule la 4665 non so. la 4665 pure: http://www.emule.it/guida_emule/guide/amule_firewall.asp -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: opzioni kernel firewall
4662 e 4672 quelle di Amule la 4665 non so. Ciao -- -= Nic =- Quando ti trovi d'accordo con la maggioranza,e' il momento di fermarti a riflettere-=Mark Twain=- Amico di Emergency_2007 Linux registered user # 380338 Linux registered machine # 283289 powered by Debian/GnuLinux Etch 4.0 Msn:[EMAIL PROTECTED] Generazione Attiva member 0235 -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]