[ImoLUG] firewall

fRANz andrea.francesconi@gmail.com
Lun 26 Gen 2015 22:02:10 CET 

2015-01-25 22:24 GMT+01:00 giovanni coan <gicoan62@gmail.com>:

> Carissimi.Mi scuso per la prolungata assenza, ma il lavoro aumenta... Però,
> adesso che ho un poco di tempo, vorrei imparare a configurare un firewall ,
> magari usando quello di default in linux.

ciao e ben ritrovato!

> Ecco la mia situazione:
> Ho un vecchio abboinamento fastweb chew non mi permette di collegare +3
> apparecchi. Per dribblare il problema ho messo un router wp-link in cascata
> e questo mi permette di collegarmi con tutti gli apparecchi che voglio,
> tanto li maschera.
> quindi :
> 1) Router
> 2) server di backup e file server
> 3) portatile
> 4) portatile della moglie
> 5) tablet
> 6) smartphone.
> 7) rapsberry che fa da print server

parto con la prima domanda:
il router fa anche da firewall? è li che utilizzerai iptables?
oppure il firewall è in cascata dopo il router?
oppure vuoi togliere il wp-link (o TP-Link?) e metterci un firewall
con iptables?

> Sono tutti configurati con IP fisso,, e i computer (non il tablet nè lo
> smartphone) hanno gli ip di tutti nel loro /etc/hosts.
>
> Ho impostati sul router la wan come zona esterna, il resto come lan.

corretto
lo stesso principio lo applicheremo anche ad iptables

> Pensavo di dare le seguenti regole:
> da lan a lan accettare tutto;

... specie perchè la maggior parte del traffico locale non interesserà
minimamente il firewall :-)

> da lan a wan accettare tutto;

ok

> da wan a lan negare tutto

se è un fastweb classico temo non sia possibile pubblicare all'esterno
servizio, percui...

> tenere aperte solo le porte 80, 631(cups), quelle di transmission, e quelle
> di wget. Che ve ne pare?

ecco, qui non ho capito
parliamo di traffico in uscita dalla tua rete verso Internet (mi
sembrava di aver capito che apri tutto verso Internet) oppure di
traffico dall'esterno verso la tua rete interna?

nel primo caso ok far uscire la navigazione (magari buttiamoci dentro
anche la 443 così da accedere a qualche sito HTTPS),
la porta di cups mi lascia un pò perplesso (a meno che tu non abbia
trovato un server aperto su Internet e ti stia divertendo nello
schienarlo a suon di stampe :-)),
transmission esce senza problemi (semmai va prevista un nat in
ingresso per accelerare il traffico torrent ma vale quanto detto prima
per le reti fastweb),
wget veicola traffico web ma non solo quindi abbiamo già dato sull'argomento

> Posso fare in realtà in 2 maniere diverse, perchè il file server ha la
> possibilità sia di essere collegato via ethernet che via wifi.
> Posso impostare tutto come se il collegamento fosse solo wifi,
> oppure....trasformare la wi-fi del server in un ap, al quale collegare il
> print sever, magari con una rete diversa e lasciare tale rete esclusa da
> internet e soilo a disposizione della lan.

non starei a complicarmi inutilmente la vita: lascia ethernet e wifi
sullo stesso piano di indirizzamento IP, almeno all'inizio... magari
aggiungi una zampa wifi come esercizio (e gestisci un set di policy
dedicato) quando avrai preso più dimestichezza con l'oggetto

> Mi piacerebbe moilto, ma nn so come fare con il firewall. Suggerimenti?

ritorno nel quesito di prima: hai iptables sul router o parliamo di
un'altra macchina?
vuoi farci uno schemino simil:

http://i.stack.imgur.com/cTdvm.jpg

così capiamo meglio lo scenario?

> PS sarebbe molto gradito se mi consigliasteun testo da studiare per
> comprendere iptable...

parti da una banale ricerca per trovare ogni tipo di documento:

https://www.google.com/search?q=iptables+tutorial

il mio suggerimento è quello di farti una idea iniziale sullo
strumento, ragionare sullo schema di rete che vuoi implementare ed in
ultimissima analisi definire le politiche che iptables ti permetterà
di implementare (il ragionamento che hai fatto sopra, lan>lan,
lan>wan, wan>lan, etc).

troverai decine, centinaia di script già pronti: onestamente eviterei.
rischi di implementare policy senza comprenderne le basi, rimuoveresti
intere regole da un set esistente ripulendo quello che non serve...
parti invece da una configurazione minimale:

http://www.kossboss.com/linux---minimal-iptables-example---making-sure-we-dont-lose-access-to-vps-via-ssh
http://www.noah.org/wiki/Iptables

(meglio ancora _senza_ firewall, specie quando non hai bisogno di
nat), sincerati che il routing tra le diverse zone funzioni e, solo a
quel punto, inizia ad attivare le regole sincerandoti della loro
efficacia.
so che è la via più lunga ma credo (e spero) sia anche quella che ti
darà più soddisfazione

aggiornaci sui risultati! ;-)

PS: bhè?!?! nessuno in platea che tenti Coan con pfSense? :-D

-f

Maggiori informazioni sulla lista ImoLUG