PDA

Visualizza versione completa : Firewall Linux


NS-1
15-07-2008, 14.32.40
Ciao a tutti,
vorrei fare una cosa interessante sul mio firewall prendendo spunto da una configurazione del cisco pix...

Periferiche:
Router ADSL --> 192.168.1.1 255.255.255.252
Linux Esterna (eth1) --> 192.168.1.2 255.255.255.252
Linux Interna (eth0) --> 192.168.1.1 255.255.255.0

Quindi a questo punto sui pc della LAN imposto come gateway 192.168.1.1 e in caso di manutenzione del firewall linux si può collegare direttamente il cavo di rete che arriva a eth0 al router adsl.

Devo impostare un bridge tra eth0 e eth1? che rotte devo settare?
Avete della documentazione da consigliarmi?

grazie

Doomboy
15-07-2008, 16.22.27
non mi è chiarissimo lo scenario: eth0 ed eth1 sono entrambe interfacce sul firewall?

NS-1
15-07-2008, 16.35.53
si, eth0 e eth1 sono sulla stessa macchina. Una di queste è collegata direttamente al router adsl mentre l'altra ad uno switch accessibile a tutti i pc della lan...

Doomboy
15-07-2008, 18.58.24
Mi rispieghi?

Tu hai una rete con "n" clients, tutti connessi ad un server linux con due schede di rete che fa da firewall ed è l'unico gateway fisico verso il router, ho capito?

E se si, cosa intendi con "manutenzione del firewall"? Questo firewall sostituisce il PIX o stai usando delle IPTables prima di un firewall hardware?

Non mi è chiaro, la perplessità mi nasce da non capire quali sono le due eth che vuoi mettere in bridge...

NS-1
15-07-2008, 19.19.48
si, il computer con linux è l'unico gateway verso il router adsl.
In linux "gira" uno script bash con diverse iptables impostate e ha 2 interfacce di rete, una collegata unicamente al router adsl mentre l'altra è collegata ad uno switch.
Tutti i pc della lan si collegano allo switch e sono obbligati a passare attraverso il firewall linux per poter raggiungere 'internet'.

la configurazione che vorrei effettuare servirebbe unicamente per poter bypassare il firewall linux senza dover riconfigurare nulla ne nel router adsl e nemmeno sui pc della lan...

NS-1
16-07-2008, 20.44.47
nessuno? :x:

Doomboy
17-07-2008, 10.01.43
la configurazione che vorrei effettuare servirebbe unicamente per poter bypassare il firewall linux senza dover riconfigurare nulla ne nel router adsl e nemmeno sui pc della lan...

Bypassare in senso hardware o software?

Ovvero: Usando le interface di rete della macchina linux senza iptables o collegando direttamente lo switch al router?

NS-1
18-07-2008, 15.18.26
collegando direttamente lo switch al router

Doomboy
18-07-2008, 15.54.51
Scusa i PC della LAN hanno IP statici o stanno in DHCP?

Nel secondo caso basta che cambi GW alle assegnazioni. Nel primo scenario invece la questione è più complicata, dovresti mettere delle rotte statiche su ogni PC cambiando per tutta la mask 10.0.0.0 il gateway...

NS-1
18-07-2008, 21.12.58
Il firewall cisco pix che ho avuto modo di smanettare un attimo era configurato così:
- eth0 per collegamento lan
- eth1 per collegamento wan

ip della eth0 : 192.168.1.1/24
ip della eth1: 192.168.1.2/30

questo cisco pix era collegato tramite la porta wan (eth1) ad un router adsl con indirizzo ip 192.168.1.1/24

nel cisco pix era inoltre configurata una rotta su (gateway di default) 192.168.1.1 metric 1

non ho avuto modo di vedere altro...

logicamente i pc della lan avevano come gateway 192.168.1.1 ed è sufficiente collegare il cavo che arriva alla eth0 del PIX direttamente alla porta del router per poter continuare a navigare senza modificare nulla... bypassando il PIX...

ora io vorrei fare la stessa cosa con il mio server a casa.

ho 2 schede di rete, ho simulato la stessa situazione ma c'è qualcosa che manca... (dico queso perchè non funziona correttamente)
pensando un attimo ho creduto fosse logico creare un bridge tra eth0 e eth1...

questo è ciò che ho inserito in uno script:

#!/bin/bash
ifconfig br0 down
brctl delbr br0

brctl addbr br0
brctl stp br0 off
brctl addif br0 eth0
brctl addif br0 eth1

ifconfig eth0 192.168.200.1 netmask 255.255.255.248
ifconfig eth1 192.168.200.2 netmask 255.255.255.252

ifconfig br0 192.168.200.1 netmask 255.255.255.0 up


ho provato a impostare anche qualche rotta e ho avuto risultati parziali...
...la strada non penso sia sbagliata, manca però ancora qualche "tassello"

riesci a darmi una mano?

Doomboy
18-07-2008, 21.39.06
Petta petta petta... tu vuoi ottenere il comportamento di un pix (che di suo lavora con delle ACL) con le IPTables che invece fanno pre e post routing?

La logica di routing di un PIX è diversa da quella di Iptables, il PIX non natta. Il PIX usa delle access-list gerarchiche, la filosofia è un pochino diversa.

Per quanto riguarda le IPTables se ho capito bene il tuo scenario non devi fare alcun bridge, devi creare delle interfacce virtuali sulle quali poi natti il traffico. Se usi webmin è facilissimo.

Ora però il mio server di casa non ha IPTables perché l'ho riformattato un paio di settimane fa, passando da FreeBSD (che smanettavo proprio per giocare con le iptables) a Debian perché dovevo testare delle cose su LAMP, quindi mi viene meglio con Debian :p , quindi a memoria non ricordo bene i percorsi.

In ogni caso non serve che tu faccia un bridge. Cavolo non ricordo i nomi delle chain che devi usare :wall:

Domani a mente lucida provo ad esserti più utile :p

Fumettos
19-07-2008, 04.47.11
IpCop?

NS-1
19-07-2008, 21.05.57
IpCop?

nelle specifiche non mi sembra faccia ciò che sto chiedendo. E poi voglio farlo a mano.
Ipcop e i suoi automatismi non fanno imparare nulla, anzi...

l'unica cosa che chiedo, sono spunti e documentazione.

Se poi riesco nel mio intento pubblicherò la soluzione qui nel forum.

Doomboy
19-07-2008, 21.20.42
Ipcom è un ottimo prodotto, ma è un firewall puro. Differente da IPTables che in realtà è un sistema di gestione del routing ;)

NS-1
20-07-2008, 00.29.00
con iptables/netfilter si possono creare dei firewall spettacolari, hai il controllo completo della comunicazione, decidi tu cosa fare e quando farla...

Ipcop è sicuramente comodo, ma non potente quanto netfilter...

uno script bash con le iptables e relativi moduli, abbinato ad arpwatch, tcpdump e settaggi del kernel permette la creazione di apparecchiature secondo me migliori di tanti firewall hardware dai costi proibitivi...

Doomboy
20-07-2008, 12.52.26
E' vero, ma è anche vero che IPTables utilizza delle modalità di pre-route e post-route che sono "atipiche" e le sue logiche sono tendenzialmente criticate da molti produttori di sistemi IDS e Firewall, tra cui Fortinet e Cisco.

Ineffetti le iptables sono molto potenti perché permettono di fare dei "giochi di NAT" che nessun firewall hardware ti permette, ma questo le rende molto vulnerabili.

Poi se vuoi la mia opinione c'è un ossimoro intrinseco nell'utilizzare un codice completamente open source per fare da firewall.

Comunque per scopi didattici o al limite "small business" sono uno strumento senza eguali e con un costo di messa in opera che sfiora lo zero, ti basta un modesto pc con le interfacce di rete necessarie.

NS-1
20-07-2008, 13.11.09
E' vero, ma è anche vero che IPTables utilizza delle modalità di pre-route e post-route che sono "atipiche" e le sue logiche sono tendenzialmente criticate da molti produttori di sistemi IDS e Firewall, tra cui Fortinet e Cisco.

atipiche? criticate? hai dei link da propormi? il discorso è interessante...

Ineffetti le iptables sono molto potenti perché permettono di fare dei "giochi di NAT" che nessun firewall hardware ti permette, ma questo le rende molto vulnerabili.


vulnerabili? penso che dipenda da chi le imposta. Come sopra, hai dei link?

Poi se vuoi la mia opinione c'è un ossimoro intrinseco nell'utilizzare un codice completamente open source per fare da firewall.


qui purtroppo non sono daccordo ma anche il mio è un parere personale... =)

Comunque per scopi didattici o al limite "small business" sono uno strumento senza eguali e con un costo di messa in opera che sfiora lo zero, ti basta un modesto pc con le interfacce di rete necessarie.


per grandi società cosa consiglieresti? soluzioni cisco? Mi daresti qualche motivazione in più per definire iptables un prodotto SOHO?

grazie

Doomboy
20-07-2008, 13.32.15
Beh più che link porto esperienza sul campo.

Il discorso dell'open source è che se è vero che molti sviluppatori possono riuscire a creare in simbiosi un prodotto molto sicuro, di contro avendo tutte le sorgenti a propria completa disposizione, si può sempre violare qualsiasi applicazione. Sopratutto se lavora solo su strato software.

Un sistema IDS o FW proprietario basato su hardware è decisamente più complesso da violare. Con questo non voglio dire che IPTables faccia acqua o che netfilter sia fallace, però al di là del saperli configurare come si deve, c'è sempre questa debolezza di fondo. Per altro nei grandi progetti e nelle grandi reti queste soluzioni non sono praticabili. Se tu rappresentassi un nuovo ISP o AS e proponessi lo schema di una tua rete a INCANN o a RIPE per chiedere, per esempio, l'attribuzione di "n" classi IP pubbliche, e se nello schema della tua rete indicassi l'uso di firewall basati su IPTables anziché soluzioni hardware, ti riderebbero in faccia e strapperebbero la domanda. Che dietro ci sia anche il "potere" di lobby informatiche di un certo tipo è normale, ma di fondo non è così sbagliato.

Per quanto riguarda le soluzioni da consigliare dipende da molti fattori. Cisco offre piattaforme ottime per quanto riguarda il firewalling, per i sistemi IDS-IDP io punterei ad esempio su Fortinet. Dipende da cosa devi mettere dietro ai firewall. Se si tratta di erogazione di servizi ovviamente ti serve una rete complessa, suddivisa in segmenti, piena di DMZ e tante varie piattaforme di controllo. Se si tratta "solo" di una rete di clients, per quanto grande possa essere, bastano dei PIX e degli switch layer2 per fare VLAN e ACL interne.

Doomboy
20-07-2008, 13.42.24
IPTables è un prodotto SOHO in funzione delle motivazioni che ti ho già dato. In una grande azienda non le puoi usare. Nessuna rete protetta da questi sistemi otterrebbe alcuna certificazione di sicurezza ufficiale.

Un po come un webserver Linux che non usasse una distribuzione enterprise... può essere stabile e sicuro al 1000x1000, ma non sarebbe ritenuto "sicuro".

La "sicurezza" è un concetto da certificare nell'ambito informatico. Sennò i grandi partner tecnologici ai quali un'azienda dell'IT, TLC ecc. volesse puntare, non si affiderebbero ad essa. Non so se mi spiego.

NS-1
20-07-2008, 14.17.59
grazie per le delucidazioni =) ...

a presto...

NS-1
21-07-2008, 00.35.49
Petta petta petta... tu vuoi ottenere il comportamento di un pix (che di suo lavora con delle ACL) con le IPTables che invece fanno pre e post routing?

La logica di routing di un PIX è diversa da quella di Iptables, il PIX non natta. Il PIX usa delle access-list gerarchiche, la filosofia è un pochino diversa.

Per quanto riguarda le IPTables se ho capito bene il tuo scenario non devi fare alcun bridge, devi creare delle interfacce virtuali sulle quali poi natti il traffico. Se usi webmin è facilissimo.

Ora però il mio server di casa non ha IPTables perché l'ho riformattato un paio di settimane fa, passando da FreeBSD (che smanettavo proprio per giocare con le iptables) a Debian perché dovevo testare delle cose su LAMP, quindi mi viene meglio con Debian :p , quindi a memoria non ricordo bene i percorsi.

In ogni caso non serve che tu faccia un bridge. Cavolo non ricordo i nomi delle chain che devi usare :wall:

Domani a mente lucida provo ad esserti più utile :p

quindi niente bridge? pensi si possa fare tutto con le catene di prerouting e postrouting della tabella nat?

Doomboy
21-07-2008, 13.37.39
quindi niente bridge? pensi si possa fare tutto con le catene di prerouting e postrouting della tabella nat?

Sto andando a memoria, comunque tu hai creato le interfacce di rete virtuali per tutte le tue schede di rete?

NS-1
21-07-2008, 19.44.04
no non le ho ancora create anche perchè non ho ancora chiaro cosa intendi fare... :)

ti va di scriverlo in maniera riassuntiva, a grandi linee, così poi provo a farlo io...


(Y)

NS-1
23-07-2008, 20.04.30
qualcuno può darmi un'idea?

grazie (Y)