R: [Folug]Kernel 2.4

Webmaster FreeAnt webmaster@freeant.net
Wed, 30 May 2001 20:01:09 +0200 

La logica dovrebbe essere questa:

ADSL: 194.1.1.1
|
|
194.1.1.0
Firewall
192.168.4.1/24
|
|
server WEB interno: 192.168.4.2/24
server MTA interno: 192.168.4.3/24
server CVS interno: 192.168.4.4/24
clients: 192.168.4.5-254/24

Bidirezionale è una parola grossa. >:)

Ammettiamo che tu voglia che gli untrusted (coloro che stanno fuori dalla tua
rete protetta) possano accedere al web server: con ipfwadm crei un tubo che
dice che 194.1.1.1 80 è collegato a 192.168.4.2 80
Bene. Una volta richiesto il collegamento (arriva da fuori un pacchetto SYN da
IP 191.51.43.21 su porta 54321 indirizzato a 194.1.1.1 porta 80) si stabilisce
un socket che permette al tuo WEB server di colloquiare con la macchina remota
rispedendo indietro i pacchetti di risposta. in questo senso è e _deve_ essere
bidirezionale. Ma se il pacchetto SYN parte dal tuo WEB server (ad esempio per
fare un telnet verso fuori), no way, _non_ è bidirezionale e pertanto non farà
lo stesso percorso. A meno che tu con ipfwadm non stabilisca un tubo anche per
quello. Ma a che pro, visto che il tuo WEB server è trusted e basta
specificargli il gateway/firewall MASQeratore per uscire?

Parliamo dell'MTA. E' altamente sconsigliabile far attraversare la fireuallera
dai pacchetti 25 degli untrusted che devono consegnare posta; in tal modo
arrivano direttamente sul tuo mail hub ma per farlo attraversano il firewall.
benché non ci siano grosse hackerate che si possono fare via porta 25, meglio
non rischiare. Piuttosto conviene mettere un qmail sul firewall che si occupi
di consegnare al mail hub senza accodamenti. Davide ti spiegherà come fare, se
vuoi: è lui il guru di qmail (e non dimenticherò mai che con il suo howto mi
ha salvato mentre nuotavo in una piscina di... ehm... guano?) ;)
Comunque, se hai fondati motivi per non mettere qmail sul firewall, devi anche
qui mettere un tubo che permetterà al tuo MTA di colloquiare
_bidirezionalmente_ con l'untrusted intenzionato a consegnare posta. Cosa che
non ha niente a che fare col fatto che tu spedisca posta a tua volta. I
pacchetti che passano per il tubo saranno solo quelli che sono stati preceduti
da un SYN proveniente dall'esterno. Per la tua posta in uscita basta dire al
mail hub di mandarla fuori via il gateway e vale sia che la consegni
direttamente sia che si appoggi ad un MTA esterno.

Il CVS non so perché l'ho messo. Fose perché volevo fare un terzo esempio
quando; d; un tratto, mi rendo conto che ho fatto abbastanza casino con i
primi due... ;)

In definitiva, bisogna differenziare tra i SYN provenienti dall'esterno e
quelli dall'interno. I primi sono quelli pericolosi, vanno filtrati,
controllati ed intubati, e questo lo sanno tutti. Gli altri non ha senso
intubarli; conviene farli passare per la strada normale (il gateway). Ci
penserà poi il MASQ a far pervenire i pacchetti in risposta all'host che li ha
richiesti.

Rileggendo mi rendo conto di non essere stato molto chiaro nell'esposizione.
Fammi sapere in percentuale quanto ho risposto. ;)

Ciao
ANT :)

-----Messaggio originale-----
Da: Luigi Lorenzo LLN. Noris <gigi@pclinx.it>
A: folug@lists.linux.it <folug@lists.linux.it>
Data: mercoledì 30 maggio 2001 11.00
Oggetto: Re: [Folug]Kernel 2.4


>sembra che quello che ho fatto vada bene per la porta 80 ma non ho
>capito se per esempio mappo la porta 25 di un server interno es.
>192.168.4.3 su un indirizzo pubblico di eth0 del firewall, la porta
>risponde al pubblico, ma e bidirezionale o funziona solo in ingresso ??
>
>
>-----Messaggio originale-----
>Da: folug-admin@lists.linux.it [mailto:folug-admin@lists.linux.it]Per
>conto di Webmaster FreeAnt
>Inviato: lunedì 28 maggio 2001 21.18
>A: folug@lists.linux.it
>Oggetto: I: [Folug]Kernel 2.4
>
>
>Non era partito. Chissà perché?
>Ciao
>
>-----Messaggio originale-----
>Da: Webmaster FreeAnt <webmaster@freeant.net>
>A: folug@lists.linux.it <folug@lists.linux.it>
>Data: lunedì 28 maggio 2001 20.47
>Oggetto: R: [Folug]Kernel 2.4
>
>
>>Non ho ricevuto mail di protesta... significa che funziona? ;)
>>
>>Ciao
>>FreeANT
>>
>>-----Messaggio originale-----
>>Da: Luigi Lorenzo LLN. Noris <gigi@pclinx.it>
>>A: folug@lists.linux.it <folug@lists.linux.it>
>>Data: lunedì 28 maggio 2001 14.38
>>Oggetto: Re: [Folug]Kernel 2.4
>>
>>
>>>Grazie.. tutto questo mi sara' molto utile oggi pomeriggio in fase di
>>>prove.
>>>
>>>come al solito
>>>Grazie e a buon rendere ....
>>>Spero un giorno di esservi utile..
>>>
>>>GG
>>>
>>>
>>>
>>>
>>>-----Messaggio originale-----
>>>Da: folug-admin@lists.linux.it [mailto:folug-admin@lists.linux.it]Per
>>>conto di Webmaster FreeAnt
>>>Inviato: venerdì 25 maggio 2001 20.40
>>>A: folug@lists.linux.it
>>>Oggetto: R: [Folug]Kernel 2.4
>>>
>>>>per poter fare delle ridirezioni statiche come farei su un router,
>come
>>>>posso fare con linux, di cosa ho bisogno ??
>>>>
>>>
>>>Se non ho capito male devi mappare una porta su un IP su un'altra
>porta
>>>(o la
>>>stessa) su un altro IP, giusto?
>>>
>>>In questo caso dovresti utilizzare ipfwadm portfw (*) -L IP_ADSL PORTA
>>>-R
>>>IP_INTERNAL PORTA
>>>
>>>ne puoi fare quanti ne vuoi, esempio indirizzare l'IP esterno con
>porta
>>>80
>>>sulla 6969 di un server interno, poi la 443 invece la puoi dirottare
>su
>>>un
>>>altro server, mentre un altro IP esterno lo puoi forwardare su altre
>>>macchine/porte ma senz'altro questo lo saprai già.
>>>
>>>(*) qui ci vogliono delle opzioni che non ricordo a mente: mi dispiace
>>>ma
>>>grazie a windows mi sono fottuto la partizione unix che avevo sulla
>>>macchina
>>>ed in ufficio non ci torno per una settimana quindi non posso
>>>controllare
>>>sintassi and the like... spero che serva ugualmente. Prima di settare
>>>questi
>>>parametri, come va fatto di regola con ipchains, ricordati di flushare
>>>le
>>>regole; dev'essere una cosa tipo
>>>ipfwadm -f o
>>>ipfwadm portfw -f
>>>nel man comunque lo trovi.
>>>
>>>Occhio che la tabella delle rotte sia OK.
>>>
>>>hope this will help
>>>buon ridirezionamento! ;)
>>>
>>>Ciao
>>>ANT :)
>>>
>>>
>>>
>>>_______________________________________________
>>>Folug mailing list
>>>Folug@lists.linux.it
>>>http://www.linux.it/mailman/listinfo/folug
>>>
>>>_______________________________________________
>>>Folug mailing list
>>>Folug@lists.linux.it
>>>http://www.linux.it/mailman/listinfo/folug
>>>
>>
>
>
>_______________________________________________
>Folug mailing list
>Folug@lists.linux.it
>http://www.linux.it/mailman/listinfo/folug
>
>_______________________________________________
>Folug mailing list
>Folug@lists.linux.it
>http://www.linux.it/mailman/listinfo/folug
>