iptables

Ritratto di griphon

Regola Iptables per forwardare accesso internet ad un client?

La mia situazione è questa:
Aula scolastica con un server (ubuntu server 12.04) e 10 clients (ip fissi).
Il server ha due schede di rete dove una (la eth0) è collegata ad un router adsl per l'accesso internet, con ip 94.x.x.185 e gateway 94.x.x.181, mentre l'altra scheda è cablata ad un hub switch che collega i vari clients, con ip 192.x.x.33.
I clients accedono ad internet tramite proxyserver squid3 del server e non hanno gateway configurato (quindi accesso ad internet solo tramite porta 3128 del proxy).

Suggerimenti firewall cluster

Ragazzi,un cosniglio veloce sul firewall iptables
per un cluster.
Ho un cluster di test,di soli 2 nodi in failover
:gira tutto sulla rete 192.168.3.0 in bond,
e disco condiviso iscsi con lvm e gfs2 sempre sulla rete 192.168.3.0
parte ,ma funziona malissimo
Ovvero : clvmd è lentissimo a partire e sovente si blocca
dando noiosissimi messaggi Blocked more than 120 seconds...
ho lasciato selinux a enforced(per cortesia non suggerite
di disabilitarlo visto che è una garanzia di sicurezza)
e come regole deirewall ho messo

IPTABLES E FORWARDING

Ciao a tutti,

ho un problema, ho una macchina linux che mi fa da gateway sulla quale sono impostati dei DNAT e SNAT, ho provato a limitare il FORWARD alle sole reti interessate ma non funziona.

IPTABLES -P FORWARD DROP
IPTABLES -A FORWARD -i eth0 -p tcp --dport 80 -d 192.168.0.12 -j ACCEPT

La situazione é più complessa in quanto a 192.168.0.12 si arriva tramite la scheda di rete eth2:3 che ha l'ip pubblico associato al DNS.

Grazie in anticipo.

Ritratto di admin

Firewall/NAT in 2 minuti

Se vogliamo proteggere una rete locale e permettere la navigazione abilitando il NAT, possiamo usare al volo una configurazione di questo tipo.
Facciamo uno scirpt che chiamiamo rc.firewall:

#########################
#####rc.firewall
#########################
# eth0= LAN interface
# eth1= NET interface
# 192.168.10.0 = LAN interna

# Abilitiamo il forwarding dei pacchetti tra le interfacce (interna ed esterna)
echo 1 > /proc/sys/net/ipv4/ip_forward

# Cancelliamo tutte le vecchie policy
iptables -F
iptables -t nat -F
iptables -t mangle -F

Ritratto di admin

HA con GNU/Linux: ucarp su GNU/Linux

Introduzione

Riprendiamo un argomento che da tempo non tratto più ovvero la High Availability, questa magica parolina sempre molto di moda nel mondo dei sistemi critici.
Invece di utilizzare HeartBeat noto sistema per l’HA su sistemi GNU/Linux ho usato ucarp, che se non sbaglio rappresenta un porting di un protocollo noto nel mondo *BSD, in grado di assicurare la ridondanza di sistemi e connessioni.

Ritratto di admin

ULOG con Iptables: Aggiornamento

Introduzione

Ulog sostituisce il tradizionale metodo di logging bastato su syslogd, che come noto, utilizza il TARGET LOG di iptables, con il più evoluto target ULOG, capace di loggare direttamente in userspace e gestire i log nei modi più svariati. Le informazioni risultano più schematiche e molto simili a quelle dei tradizionali log di sistema.

Ritratto di admin

Bandwidth Limiting HOWTO

Da tempo in lavorazione, ho completato l'HOWTO sullo shaping.
L'argomento è complesso sono possibili imprecisioni. Ne verrà comunque fornita successivamente una versione ancora più completa.
E' stato dato risalto in modo particolare alla parte pratica, che rappresenta la parte essenziale del documento. Buona Lettura.

Ritratto di admin

Difendiamo i nostri servizi: Il Port Knocking

Introduzione

A chi non è capitato di trovarsi sommersi dai tentativi di connessione a certe porte dei nostri sistemi, come la porta 22 di ssh.
Si tratta di classici tentativi di forzare il sistema, usando un attacco brute force con la speranza di identificare la password.

Ritratto di admin

ULOG con Iptables

Introduzione

Ulogd sostituisce il tradizionale metodo di logging bastato su syslogd, che utilizza il tradizionale TARGET LOG di iptables, con il più evoluto target ULOG/ulogd, capace di loggare direttamente in userspace e gestire i log nei modi più svariati. Le informazioni risultano più schematiche e molto simili a quelle dei tradizionali log di sistema.

Ritratto di admin

Fwlogwatch: il Firewall diventa attivo

Introduzione

Questo documento parte dall’analisi di una duplice necessità, ovvero trovare un programma semplice e configurabile per analizzare i canonici log prodotti dal nostro firewall e al tempo stesso integrarsi dinamicamente con il firewall bloccando automaticamente gli IP sorgenti dei sistemi che tentano di attaccare o sondare il nostro sistema, superando una certa soglia di tolleranza preimpostata.