Pagina 1 di 1

Bloccare accessi su ETH1

Inviato: dom 11 lug 2010, 13:05
da andy-x
Salve.
Vi descrivo lo scenario... ETH0 per servire la rete di PC con samba opportunamente bloccata sulla ETH1.
ETH1 per fare aggiornamenti antivirus e aggiornamenti di sicurezza una volta al giorno collegato al modem ADSL ma non deve fare gateway.... in azienda non vogliono che internet sia accessibile....
Allora io pensavo di spengere e accendere con ifconfig la scheda..... domanda c'e' possibilità di riaccendere la NIC da internet dopo un ifconfig eth1 down?

Altra domanda (scusate!!!) potrei fare lo stesso con iptables? ETH0 solo per rete interna ... ETH1 solo per Internet senza gateway per i PC e senza accessi dall'esterno? (in pratica usare internet solo dal server per aggiornamenti e basta)

Scusate se le domande sono da idiota..... :(

Re: Bloccare accessi su ETH1

Inviato: dom 11 lug 2010, 13:10
da conraid
semplicemente non devi fare niente, di default il forwarding è disabilitato

io mi preoccuperei della parte SERVER<->MODEM, nel senso che devi proteggere il server, iptables in questo senso può essere utile soprattutto se collegato direttamente al modem

Re: Bloccare accessi su ETH1

Inviato: dom 11 lug 2010, 15:18
da andy-x
Grazie Conraid ma non ho capito.... il mio caso e' questo:

ADSL ----> ETH1-SERVER-ETH0 ----> PC

Io vorrei bloccare l'accesso di tutti i pacchetti e tutte le porte in ingresso su eth1 e scaricare solo quello che voglio (leggi freshclam e wget di pacchetti *.tgz).
da dove si vede l'abilitazione del forwarding?
Grazie.

Edit
Trovato per vedere il foward

Codice: Seleziona tutto

cat /proc/sys/net/ipv4/ip_forward

Re: Bloccare accessi su ETH1

Inviato: dom 11 lug 2010, 17:18
da conraid
se ti serve solo quello blocchi tutto tramite iptables, poi puoi fare uno script che ti apre solamente le porte di cui hai bisogno per il tempo di cui ne hai bisogno, qualcosa tipo

Codice: Seleziona tutto

    /usr/sbin/iptables -P INPUT DROP
    /usr/sbin/iptables -P OUTPUT DROP
    /usr/sbin/iptables -P FORWARD DROP
di default

e poi

Codice: Seleziona tutto

/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
freshclam
slackpkg check-updates
/usr/sbin/iptables -D INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -P OUTPUT DROP
quando vuoi controllare aggiornamenti

naturalmente è solo un esempio buttato li, non sono nemmeno sicuro delle regole di iptables, quindi non copiarlo :p
c'è anche OUTPUT ad ACCEPT che non è che vada tanto bene in un server

Re: Bloccare accessi su ETH1

Inviato: dom 6 feb 2011, 13:35
da albatross
attenzione che con i DROP finali blocchi il traffico su tutte le interfacce...
devi sempre lasciare una regola che permetta il traffico verso le rotte dell'interfaccia eth0 (la lan interna) altrimenti anche quest'ultime verrano scartate..