[CB-lug] NFS e firewall

overdrive overdrive@BitchX.it
Mar 20 Feb 2007 13:16:55 CET 

On Mon, Feb 19, 2007 at 09:59:15PM +0100, robertom wrote:
> pardon oVERDRIVE,
> ovviamente l'imprecisione mia è ignoranza della
> complessità dell'universo linux.

no, no, non si tratta di ingnoranza, ma di solito e' prassi allegare
una descrizione del sistema su cui si lavora....
come quella che si fa quando si scrive sulle riviste.
In genere nelle mailig list del settore si allega un 
output del comando "dselect", "lspci" ecc.. ecc...

:)

> Ad esempio il tuo: "non hai specificato l'interfaccia
> di provenienza dei pacchetti con indirizzo
> 192.168.1.0/24, cio' implica anche attacchi esterni su
> ppp0 con indirizzi spoofati" vuol dire che ci può
> essere protocollo ppp0 anche su ethernet? O capisco
> male? Potresti dirmi eventualmente 2 parole a
> riguardo? Merci

intendo che sull'interfaccia ppp0, potresti avere pacchetti con 
indirizzo sorgente 192.168.1.0/16....
La tecnica di cambiare l'indirizzo sorgente, con un altro indirizzo
si chiama "spoofing".

Per tornare al problema, dovresti specificare nella tua regola, 
di accettare tutte le connessioni tcp (--tcp), con indirizzo locale
(-s 192.168.1.0/24), che provengano "pero'" solo dall'interfaccia locale
(-i eth0). 

La gestione di un firewall su di un server, non e' una cosa difficile
a patto che si abbiano delle conoscenze di Networking.

Ti consiglio di impostare delle variabili all'interno del tuo file di 
configurazione, del tipo:

 # [Interfaccia Esterna Pubblica]
 EXTIF="eth1"
 # [Interfaccia Privata Interna]
 INTIF="eth0"
 # [Host Pubblico sull'interfaccia eth1]
 EGO="211.121.111.111"
 # LAN interna IP (su eth0)
 LANINT="10.0.0.0/24"
 # IP di Classi di indirizzi dedicate a utilizzi privati quindi non
 # routable... cioe' che non dovrebbero provenire da Internet (anti spoof)
 LOOPBACK="127.0.0.0/8"
 CLASS_A="10.0.0.0/8"
 CLASS_B="172.16.0.0/12"
 CLASS_C="192.168.0.0/16"

e di qui' in poi devi solo impostare le regole per il firewalling in maniera
piu' leggibile da un essere umano ...

per esempio una regola anti spoofing potra' essere:

/sbin/iptables -A INPUT -i $EXTIF -s $CLASS_A -j DROP

Questo vieta in ingresso sull'interfaccia esterna (EXTIF , cioe' eth1),
tutti i pacchetti 10.0.0.0/8.

E con questa logica, permetti che il traffico locale solo sull'interfaccia
giusta. esempio:

/sbin/iptables -A INPUT -s $LOOPBACK -j ACCEPT
/sbin/iptables -A OUTPUT -d $LOOPBACK -j ACCEPT



> Comunque riguardo la mia rete:
> 1) debian per tutta la rete
> 2) ogni macchina si collega direttamente allo switch
> connesso al router, via eth0 in ogni macchina

quindi come nelle variabili che ho indicato sopra ... :)

> 3) rete locale (piccolo ufficio) con il router che
> apre su internet
> 
> Pensavo quindi di rafforzare la restrizione di accesso
> al server alla sola cartella condivisa con il
> firewall, cioè impostare il firewall del server in
> modo da consentire l'accesso dall'esterno comunque
> solo verso la cartella condivisa. 

uhm... se ho capito bene ....
dall'interno della rete verso il firewall (linux - iptables), accetta tutte
le connessioni, e lo stesso per il server verso i pc locali.
Bloccare dall'esterno tutte le connessioni verso l'interno sulle 
risorse condivise...


/sbin/iptables -A INPUT -s $TRUSTED -p TCP --dport 139 -j ACCEPT

Ricorda di abilitare anche il traffico UDP e le altre porte ....
Inoltre ti ricordo di impostare la variabile TRUSTED con gli indirizzi 
IP delle macchine interne.
Ti do anche per scontato il principio di bloccare tutte le porte e
successivamente abilitare il traffico sui servizi che vuoi rendere 
accessibili.

> ti ringrazio

Figurati... 
    se hai altre domande, non esitare a chiedere .... ma soprattutto
    ricordati di leggere prima un how to sull'argomento.

Saluti
    Francesco Steno aka "oVERDRIVE"

-- 
VERGINE (23 Ago - 22 Sett):
        Lo rimarrai.

-=-=-=-=-=-=-=-=-=-=-=-=-=-generated by /dev/over-=-=-=-=-=-=-=-=-=-=
                                  oVERDRIVE
<overdrive@OpenGeeks.it><overdrive@BitchX.it><overdrive@Linux.it>
     GnuPG Public Key: http://cb.linux.it/lug/key/overdrive.asc 
  Key Fingerprint: 146A E13D 9E68 3B96 40FB  11F5 9A10 2D1F 3973 C203
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: Digital signature
Url:         http://lists.linux.it/pipermail/lugcb/attachments/20070220/0e4bbf0e/attachment.pgp

Maggiori informazioni sulla lista Lugcb