Utilizzo di iptables

[iz5hqb]

Salve a tutti, ho bisogno di un aiuto per utilizzare iptables.

Voglio realizzare un pc che funga da firewall, la macchina è dotata di due schede di rete.
Avrei la necessità di configurare il tutto in modo che i pc della rete interna possano visitare, oltre alla rete interna, solo alcuni indirizzi ip esterni.
La rete è composta da una serie di pc MS con un router (ip 192.168.2.1 ) che permette la navigazione verso l'esterno. Pensavo di assegnare alle schede del firewall due ip ( es. eth0 - 192.168.2.10 e eth1 192.168.2.90 ) ed indirizzare il gateway delle singole postazioni ad una delle interfacce. 
Come indico al firewall quali ip esterni sono validi e quali sono da bloccare?

Ringrazio tutti per la pazienza e per ogni aiuto.

Gabriele

[pieddu]

Che te ne fai di un router dietro ad un router?
Configura quello....

[iz5hqb]

Hai perfettamente ragione ma purtroppo quello non lo posso configurare.

Grazie comunque.

[pieddu]

Allora dà 2 indirizzi statici alle tue ethernet, installa un server dhcp (quello del primo router è acceso?)
e preparati a studiare iptables.....
Potrebbe aiutarti firestarter....

[iz5hqb]

Bene,

1 -  le schede hanno già due ip statici ( 192.168.2.10 e 192.168.2.20 )

2 - posso fare a meno del serve DHCP avendo tutte le macchine con ip statico?

Se si sono pronto ad imparare ad utilizzare iptables.

Graxzie ancora della pazienza.

[fortran77]

Allora, tu vuoi realizzare una configurazione che esce su una scheda di rete verso il router (e internet) mentre l'altra scheda è riservata alla lan vero?

Beh innanzi tutto devi impostare il forwarding tra le due schede (un mucchio di howto su google, quindi non sto a citarli qui), infine devi impostare delle regole di uscita sulla interfaccia verso internet.
Supponiamo che i parametri del tuo script iptables siano questi:

Codice: Seleziona tutto

IFACE="eth0" #Interfaccia esterna internet
LFACE="eth1" #Interfaccia interna
IPTABLES="/sbin/iptables"
ALLOW_IP="192.168.2.1-192.168.2.255 208.69.34.231" #lista separata da spazi

Devi creare una catena del tipo "allow_ip":

Codice: Seleziona tutto

#Catena per consentire uno o più specifici ip
 $IPTABLES -N allow_ip
 $IPTABLES -F allow_ip
 for i in $ALLOW_IP; do
     $IPTABLES -A allow_ip -m iprange --src-range $i -j ACCEPT
 done

e poi applicarla ad OUTPUT con una regola del tipo:

Codice: Seleziona tutto

  $IPTABLES -A OUTPUT -j allow_ip

Ovviamente avevi precedentemente impostato la regola di default di OUTPUT su DROP

Codice: Seleziona tutto

$IPTABLES -P OUTPUT DROP

In alternativa, se non vuoi ipostarli in una variabile "ALLOW_IP" ma preferisci avere una lista su file puoi fare una cosa del genere:

Codice: Seleziona tutto

LISTA=file con la lista degli indirizzi
ALLOW_IP=`cat $LISTA`

P.S. ovviamente con gli indirizzi statici in dhcp non serve a nulla

Tempo fa avevo postato uno script di iptables che  faceva cose simili, solo l'opposto (bannava alcuni specifici indirizzi ip). Se lo trovi con una ricerca sul forum puoi facilmente adattarlo alle tue esigenze, inoltre può essere una buona base per imparare iptables.

P.P.S. Come noterai questa regola funziona per tutte e due le interffacce di rete! In questo modo semplifichi tutto: imposti le policy di default, imposti il forwarding, applichi la catena allow_ip che contiene anche il range di ip della lan e configuri tutto a livello ip, senza stare a distinguere le interfacce di rete.

[manuel.delia]

Credo ti convenga, per questioni di sicurezza, impostare due sottoreti differenti.
Ad esempio, prima interfaccia: 192.168.1.xxx; seconda interfaccia: 192.168.2.yyy; entrambe con subnet 255.255.255.0.
Per il resto, se vuoi semplificarti la vita, ti suggerisco di scaricare SmoothWall o IPCop. Sono due distribuzioni specifiche per fare da firewall, configurazione semplicissima e vanno come un bombo!  ;)

[iz5hqb]

Grazie, ora non mi rimane che provare e farvi sapere i risultati.
(b2b)
Ancora grazie.