configurazione iptables

7 risposte [Ultimo contenuto]
Ritratto di Leviatano
Leviatano
(Junior)
Offline
Junior
Iscritto: 13/01/2005
Messaggi: 23

Ciao a tutti, premesso che ho un firewall funzionante con cui gestisco il traffico da e verso la LAN dell' ufficio, ho alcune perplessità in merito ad alcuni parametri di configurazione.
1- E' possibile con iptables impedire il traffico verso questo o quel sito da parte di una o più macchine? 2-E' possibile tramite iptables il filtering del traffico in base al contenuto o all'estensione dei pacchetti in transito(ad es. .exe) o ci vuole un proxy server per tutto questo? So dell' esistenza di alcune opzioni che filtrano stringhe pericolose ma credo servano dei moduli da caricare preventivamente.
Vi ringrazio e vi saluto, a presto.

Lev

Ritratto di mnovaro
mnovaro
(Geek)
Offline
Geek
Iscritto: 14/01/2005
Messaggi: 81

Penso che ti serva squid... Ma io sono la persona meno adatta per risponderti... vediamo cosa dicolo gli esperti Wink ciao

Ritratto di syneus
syneus
(Junior)
Offline
Junior
Iscritto: 17/09/2004
Messaggi: 16

Quote:

1- E' possibile con iptables impedire il traffico verso questo o quel sito da parte di una o più macchine?

iptables -A FORWARD -p tcp -s a.b.c.d -d x.y.w.z -j DROP

Con questa riga droppi "elimini" tutti i pacchetti con source-address a.b.c.d e destination-address x.y.w.z che passano per il tuo firewall

Eccoti una guida abbastanza buona per iptables:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Quote:

2-E' possibile tramite iptables il filtering del traffico in base al contenuto o all'estensione dei pacchetti in transito(ad es. .exe) o ci vuole un proxy server per tutto questo? So dell' esistenza di alcune opzioni che filtrano stringhe pericolose ma credo servano dei moduli da caricare preventivamente.
Vi ringrazio e vi saluto, a presto.

Lev

Innanzitutto i pacchetti non hanno estenzione (".exe"?), cmq filtrare il traffico di rete in base al payload (dati trasportati), credo sia un po' difficile (impossibile?) da fare solo con iptables.
Opterei per guardare un po' di documentazione riguardo a proxy server

Ritratto di Leviatano
Leviatano
(Junior)
Offline
Junior
Iscritto: 13/01/2005
Messaggi: 23

Vi ringrazio per le risposte.
Syneus pardon hai ragione intendevo dire i file con estensione ".exe"
Farò qualche tentativo e ti faccio sapere.
Per il momento ti ringrazio,

Lev

Ritratto di Leviatano
Leviatano
(Junior)
Offline
Junior
Iscritto: 13/01/2005
Messaggi: 23

Caro Syneus, malgrado abbia fatto diversi tentativi, non sono riuscito tramite iptables a fermare il traffico verso i siti web; ho provato anche il tuo suggerimento ma non c'è stato verso.
Forse è necessario il proxy per questo lavoro. Parlandone anche in giro ho avuto la conferma che iptables non permette di effettuare filtri su indirizzi pubblici a meno che, questo mi viene in mente adesso, non provi a impostare una route statica al sito web che mi interessa? forse è una corbelleria...oppure agire sul postrouting tramite il target redirect....ma cmq penso che il proxy rimanga la miglior soluzione.

Lev

Ritratto di Incubus
Incubus
(Junior)
Offline
Junior
Iscritto: 08/12/2004
Messaggi: 40

bloccare il traffico da un ip verso un altro ip con iptables è SICURAMETNE fattibile: bisogna vedere come hai settato il tutto

Ritratto di EmbededBrain
EmbededBrain
(Junior)
Offline
Junior
Iscritto: 17/02/2005
Messaggi: 46

Ciao,

qui ce da smanettare molto Smile

ma ti consiglio di leggere questa guida a tcpdump

www.ziobudda.net/Recensioni/tcpdump.pdf

penso che si possa facilmente implementare in uno script bash per ottenere direttamente l'ip di un suddetto sito e farlo mettere dentro a una regoletta fatta ad hoc Smile

quando avrò tempo ci proverò anchio per ora ( e per quel che uso internet ) mi bastano le mie 4 regolette Smile

Saluti

"Oh santo google che sei nel web sia santificata la tua url, sia fatto a noi il tuo responso quotidiano e liberaci dai popup, invio" Smile

Ritratto di leodome
leodome
(Geek)
Offline
Geek
Iscritto: 17/12/2004
Messaggi: 104

Ciao, nel mese di Novembre Linux Pro aveva rilasciato una ottima guida di configurazione di Squid, che faceva proprio proprio per il tuo caso... Ora non so come recuperartela, ma spiega come filtrare la rete aggiungendo tutti i siti da non visualizzare, consentire la navigazione a gg od orari prefissati.... mi spiace... se trovo l'articolo te lo posto.

Ciao