iptables

IPTABLES E FORWARDING

Pubblicato Ven, 04/23/2010 - 09:25 by ir0nfl4m3

Ciao a tutti,

ho un problema, ho una macchina linux che mi fa da gateway sulla quale sono impostati dei DNAT e SNAT, ho provato a limitare il FORWARD alle sole reti interessate ma non funziona.

IPTABLES -P FORWARD DROP
IPTABLES -A FORWARD -i eth0 -p tcp --dport 80 -d 192.168.0.12 -j ACCEPT

La situazione é più complessa in quanto a 192.168.0.12 si arriva tramite la scheda di rete eth2:3 che ha l'ip pubblico associato al DNS.

Grazie in anticipo.

  • Share this
  • 5 commenti
Ritratto di admin

Firewall/NAT in 2 minuti

Pubblicato Mar, 02/09/2010 - 15:22 by admin

Se vogliamo proteggere una rete locale e permettere la navigazione abilitando il NAT, possiamo usare al volo una configurazione di questo tipo.
Facciamo uno scirpt che chiamiamo rc.firewall:

#########################
#####rc.firewall
#########################
# eth0= LAN interface
# eth1= NET interface
# 192.168.10.0 = LAN interna

# Abilitiamo il forwarding dei pacchetti tra le interfacce (interna ed esterna)
echo 1 > /proc/sys/net/ipv4/ip_forward

# Cancelliamo tutte le vecchie policy
iptables -F
iptables -t nat -F
iptables -t mangle -F

Ritratto di admin

HA con GNU/Linux: ucarp su GNU/Linux

Pubblicato Mar, 02/09/2010 - 12:39 by admin

Introduzione

Riprendiamo un argomento che da tempo non tratto più ovvero la High Availability, questa magica parolina sempre molto di moda nel mondo dei sistemi critici.
Invece di utilizzare HeartBeat noto sistema per l’HA su sistemi GNU/Linux ho usato ucarp, che se non sbaglio rappresenta un porting di un protocollo noto nel mondo *BSD, in grado di assicurare la ridondanza di sistemi e connessioni.

Ritratto di admin

ULOG con Iptables: Aggiornamento

Pubblicato Mar, 02/09/2010 - 12:34 by admin

Introduzione

Ulog sostituisce il tradizionale metodo di logging bastato su syslogd, che come noto, utilizza il TARGET LOG di iptables, con il più evoluto target ULOG, capace di loggare direttamente in userspace e gestire i log nei modi più svariati. Le informazioni risultano più schematiche e molto simili a quelle dei tradizionali log di sistema.

Ritratto di admin

Bandwidth Limiting HOWTO

Pubblicato Mar, 02/09/2010 - 12:24 by admin

Da tempo in lavorazione, ho completato l'HOWTO sullo shaping.
L'argomento è complesso sono possibili imprecisioni. Ne verrà comunque fornita successivamente una versione ancora più completa.
E' stato dato risalto in modo particolare alla parte pratica, che rappresenta la parte essenziale del documento. Buona Lettura.

Ritratto di admin

Difendiamo i nostri servizi: Il Port Knocking

Pubblicato Mar, 02/09/2010 - 12:10 by admin

Introduzione

A chi non è capitato di trovarsi sommersi dai tentativi di connessione a certe porte dei nostri sistemi, come la porta 22 di ssh.
Si tratta di classici tentativi di forzare il sistema, usando un attacco brute force con la speranza di identificare la password.

Ritratto di admin

ULOG con Iptables

Pubblicato Mar, 02/09/2010 - 11:16 by admin

Introduzione

Ulogd sostituisce il tradizionale metodo di logging bastato su syslogd, che utilizza il tradizionale TARGET LOG di iptables, con il più evoluto target ULOG/ulogd, capace di loggare direttamente in userspace e gestire i log nei modi più svariati. Le informazioni risultano più schematiche e molto simili a quelle dei tradizionali log di sistema.

Ritratto di admin

Fwlogwatch: il Firewall diventa attivo

Pubblicato Mar, 02/09/2010 - 10:24 by admin

Introduzione

Questo documento parte dall’analisi di una duplice necessità, ovvero trovare un programma semplice e configurabile per analizzare i canonici log prodotti dal nostro firewall e al tempo stesso integrarsi dinamicamente con il firewall bloccando automaticamente gli IP sorgenti dei sistemi che tentano di attaccare o sondare il nostro sistema, superando una certa soglia di tolleranza preimpostata.

Ritratto di admin

Configurare Linux come router per una LAN

Pubblicato Lun, 02/08/2010 - 20:14 by admin

Introduzione
Un utilizzo frequente di una linux box è quello di router per lan di piccole e medie dimensioni, ma come fare a condividere l’unico accesso ad internet a tutti i PC della rete, in modo semplice e veloce? Seguite questa breve spiegazione……….

Requirements

Avere una linux box già connessa ad internet tramite PPP, ISDN o ADSL non fa differenza, ed una scheda di rete configurata per rendere il sistema raggiungibile dalla rete locale. Le configurazioni presentate implicano l’uso di versioni del kernel 2.4.x e quindi del software iptables per le operazioni di condivisione della connessione.