iptables/netfilter
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
iptables/netfilter
Vorrei un po smanettare e creare un firewall con iptables/netfilter, potreste gentilmente suggerirmi dove trovare esempi/risorse? (sia italiano che inglese)
Grazie 1000
- m3nhir
- Entusiasta Emergente
- Messaggi: 2291
- Iscrizione: mercoledì 31 dicembre 2008, 18:48
- Desktop: gnome-shell
- Distribuzione: Ubuntu 12.04.4 LTS x86_64
Re: iptables/netfilter
-Wilson Mizner- Linux User # 207701 Ubuntu User # 27508
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
Grazie
- toni00c
- Prode Principiante
- Messaggi: 207
- Iscrizione: giovedì 19 maggio 2011, 9:13
- Distribuzione: xubuntu,debian,tails,linux mint
Re: iptables/netfilter
di che tipo di esempi hai bisogno?Steamer11 [url=http://forum.ubuntu-it.org/viewtopic.php?p=4718623#p4718623][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Grazie m3nhir, ottima documentazione. Cercavo anche degli esempi di script che utilizzano iptables/netfilter, qualche link?
Grazie
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
iptable funzionaSteamer11 [url=http://forum.ubuntu-it.org/viewtopic.php?p=4732414#p4732414][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:qualcosa tipo permettere/bloccare lo streaming audio/video ad un pc di rete, bloccare/permettere il servizio di email, impedire ai pc di una subnet di accedere a pc di una seconda subnet...qualcosa del genere...
1) su device ip-address e porte
2) solo sul pc/dispositivo su cui si da il comando
dalla 1) si evince che usare le mail con pop3 e via web sono due cose che usano porte diverse
dalla 2) se vuoi bloccare l'accesso a pc su tutti devi mettere i comandi di iptable a meno che i pacchetti non passino tutti per un dispositivo e allora li controlli da lì
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
Ho creato un mini lab conVB 4.3.26 su Ubuntu 14.04 con 1 router e 2 subnets:
Host 1: Router/firewall
3 NICs: 1st NIC NAT Host-->host 1;
2nd NIC internal network host 1 -->host 2,
3rd NIC internal network host 1 -->host 3 and 4
Host 2: Client 1 su a subnet 192.168.0.0 (lan1) --192.168.0.0/24 -- 1 NIC internal network host 1 -->host 2
Host 3: Client 2 su a subnet 192.168.1.0 (lan2) --192.168.1.0/24 -- 1 NIC internal network host 1 -->host 3
Host 4: Client 3 su a subnet 192.168.1.0 (lan2) --192.168.1.0/24 -- 1 NIC internal network host 1 -->host 4
I client dovrebbero essere connessi all host 1 (che e' il firewall sul quale lo script iptable girera) e anche a internet.
Tutti e 4 gli OS sono Ubuntu 14.04
Non sono un'aquila in network ma vorrei creare uno script che utilizzi iptables e che permetta ai client di avere accesso a internet e successivamente poi bloccarlo. Mi serve questa dimostrazione accesso/blocco
Ho configurato i client che adesso pingano il firewall e viceversa ma non hanno accesso a internet..e qui chiedo il vostro aiuto..come posso attivarlo?
Grazie
Steamer.
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
cosa vuol dire;NIC NAT Host-->host 1
servirebbe un netstat -rn su host1 e sapere il defauly gateway di host2.
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
Host --->host 1 vuol dire, host sul quale e' installato il software VB, e cioe' il mio laptop (non virtuale) e host 1 che e' il virtual host che agirebbe da router/firewall.
netstat -rn (su host1)
Codice: Seleziona tutto
ROUT_FIREWALL pc0 # netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
Codice: Seleziona tutto
pc0@LAN1PC0 ~ $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
host1 è OK punta al router 10.0.2.2 e alla tre lan
sul software su host1 non so nulla e quindi non so come forwardi i network, presumo che usi il nat.
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
Adesso sto usando due DHCP di virtualboc per gli indirizzi delle subnets, ma posso assegnare indirizzi statici al client (come sotto).
Host 2: Client 1 su a subnet 192.168.0.3 (lan1) --- gateway 192.168.0.2
Host 3: Client 2 su a subnet 192.168.1.3 (lan2) --- gateway 192.168.1.2
Host 4: Client 3 su a subnet 192.168.1.4 (lan2) --- gateway 192.168.1.2
Quello che non riesco a capire e' se e' corretto assegnare ai client come gateway l IP del nic sul firewall e soprattutto se utilizzo per esempio:
Host 2: IP 192.168.0.3 (lan1) --- gateway 192.168.0.2
Host 1 NIC 2 192.168.0.2 -gateway ?????
Dove l'IP del nic 2 sul firewall e' 192.168.0.2, quale gateway assegno al firewall per quel nic?
questi sono tutti i NIC sul firewall:
1st NIC NAT Host-->host 1;
2nd NIC internal network host 1 -->host 2,
3rd NIC internal network host 1 -->host 3 and 4
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
Certo che è giusto, in una subnet ogni dispositivo conosce solo il next hoop, tu per andare su google non conosci tutti i router, conosci l'indirizzo destinazione, e il next hoop (che sarebbe il default gateway del tcp/ip di dove stai lavorando) gli apparecchi successivi, ogn'uno conosce il next hoop per raggiungere google.Steamer11 ha scritto:Quello che non riesco a capire e' se e' corretto assegnare ai client come gateway l IP del nic sul firewall e soprattutto se utilizzo per esempio:
Host 2: IP 192.168.0.3 (lan1) --- gateway 192.168.0.2
Host 1 NIC 2 192.168.0.2 -gateway ?????
Eccolo me lo hai mostrato conDove l'IP del nic 2 sul firewall e' 192.168.0.2, quale gateway assegno al firewall per quel nic?
Codice: Seleziona tutto
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
per 192.168.0.0/24 usa eth1
per192.168.1.0/24 usa eth2
per tutti gli altri tramite eth0 usa 10.0.2.2
le definizioni di routing sono per indirizzi/network destinatari, non per nic, il nic è un tramite, avendo il nic un indirizzo, la sua subnet di appartenenza viene raggiunta tramite lui.
Ovviamente ogni dispositivo-tcp/ip ha la sua tabella di routing, questa è quella del firewall, che è diversa da quella di host2
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
Giusto per ridurre il volume di dati focalizzo su la connessione host1-firewall con host2-client1
Questo e' l output di ifconfig e netstat sulla VM del firewall (host 1).
La eth1 adesso ha indirizzo statico 192.168.0.1 e gateway 10.0.2.2
Codice: Seleziona tutto
ROUT_FIREWALL ~ # ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:ca:1e:7e
inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:feca:1e7e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:229 errors:0 dropped:0 overruns:0 frame:0
TX packets:297 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:89417 (89.4 KB) TX bytes:46583 (46.5 KB)
eth1 Link encap:Ethernet HWaddr 08:00:27:b4:1c:79
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:feb4:1c79/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2787 (2.7 KB) TX bytes:12383 (12.3 KB)
Codice: Seleziona tutto
ROUT_FIREWALL ~ # netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
Il client (host 2) adesso ha indirizzo statico 192.168.0.2 e gateway 10.0.2.2
Codice: Seleziona tutto
pc0@LAN1PC0 ~ $ netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Codice: Seleziona tutto
pc0@LAN1PC0 ~ $ ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:16:12:70
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fe16:1270/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18 errors:0 dropped:0 overruns:0 frame:0
TX packets:77 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3029 (3.0 KB) TX bytes:12412 (12.4 KB)
Non so se la configurazione e' corretta ma internet funziona sul firewall ma non sul client.
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
Ci sono varie cose che non vanno:
10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth1ROUT_FIREWALL ~ # netstat -rn
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
se fosse giusta non servirebbe, ma è sballata il gateway lo deve raggiungere tramite eth0, sfruttando la route: 10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
deve darti
Codice: Seleziona tutto
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
no contravviene alla prima regola del routing su rete ethernetIl client (host 2) adesso ha indirizzo statico 192.168.0.2 e gateway 10.0.2.2
"il gateway deve essere su una lan locale"
deve avere come gateway 192.168.0.1
ti dovrebbe aver segnalato errore, comunque il risultato è sballato
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
non va bene il netstat -rn deve dare:
Codice: Seleziona tutto
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
[router] 10.0.2.2 --------10.0.2.15 eth0 [firewall] eth1 192.168.0.1 --------------- 192.168.0.2 eth0 [host2]
configurazioni da fare: firewall
Codice: Seleziona tutto
eth0 10.0.2.15/24 gateway 10.0.2.2
eth1 192.168.0.1/24
eth2 192.168.1.1/24
Codice: Seleziona tutto
eth0 192.168.0.2/24 gateway 192.168.0.1
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
Servirebbe se ad esempio host2 avesse due schede e tu volessi raggiungere il network sulla seconda scheda, non sarebbe un defualt gateway che può essere solo uno sarebbe una route aggiuntiva da mettere.
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
Adesso sto cercando di fare lo script con iptable per fare il forward della connessione internet dal firewall al client 1.(per poi bloccarla dimostrando il funzionamento di iptables)
Prima di fare lo script pensavo di testare i comandi lanciandoli dalla shell.
La connessione internet sul firewall funziona sul client 1 no.
Ho eseguito questo per resettare tutto:
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
###### A qusto punto la connessione sul firewall non funziona ######
###### Ho creato due catene ######
iptables -N intnetlan1
iptables -N lan1intnet
iptables -A FORWARD -i eth0 -o eth1 -j intnetlan1
iptables -A FORWARD -i eth1 -o eth0 -j lan1intnet
######La connessione internet non funziona ne sul firewall ne sul client 1 ######
Sto testando riga dopo riga ma non trovo l errore
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
Codice: Seleziona tutto
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
o
sudo sh -c "echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf"
Riprendiamo lo schemino
1) a questo punto host2 sa che per andare a router deve mandare a 192.168.0.1
2) firewall sa che deve mandare a 10.0.2.2 tramite 10.2.2.15
È rimasto fuori router che non sa come rispondere, devi su router definire le route
192.168.0.1/24 gw 10.0.2.15
192.168.0.0/24 gw 10.0.2.15
L'alternativa è su firewall usare il NAT
-
- Prode Principiante
- Messaggi: 22
- Iscrizione: domenica 8 febbraio 2015, 14:37
- Desktop: Gnome
- Sesso: Maschile
Re: iptables/netfilter
Sul firewall che e' una VM eth0 e' nattata con DHCP ma gli viene sempre assegnato l'indirizzo 10.0.2.15.
A scanso di equivoci posto in netstat -rn del firewall e del client 1.
Codice: Seleziona tutto
pc0@LAN1PC0 ~ $ netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Codice: Seleziona tutto
ROUT_FIREWALL pc0 # netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
Sono confuso o e' cosi?
Il mio portatile ha IP 172.29.8.185 Bcast:172.29.11.255 Mask:255.255.252.0
questo e' il netstat -rn del mio portatile:
Kernel IP routing table
Codice: Seleziona tutto
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 172.29.8.1 0.0.0.0 UG 0 0 0 eth0
172.29.8.0 0.0.0.0 255.255.252.0 U 0 0 0 eth0
Il traceroute verso questo forum muore su eth1 del firewall.
Codice: Seleziona tutto
LAN1PC0 pc0 # traceroute 91.189.94.248
traceroute to 91.189.94.248 (91.189.94.248), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 0.251 ms 0.189 ms 0.152 ms
2 * * *
3 * * *
4 * * *
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: iptables/netfilter
Il router non risponderà mai se non ci metti le route che ti ho detto, fino ad ora conosce solo la strada fino al firewall.
Il traceroute si ferma al firewall perchè il router non può rispondere.
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti