Domande? Problemi?

Iscriviti al Google group:

Firewall base

Scopo

Lo scopo di questa esperienza è di familiarizzare con il firewalling ed in particolare con gli strumenti messi a disposizione da Argo:

  • la script firewall ed alcuni parametri di configurazione (Argo)
  • il comando fwparse (Argo)
  • iptables -L -vn -t nat o il suo alias predefinito in Argo iptn
  • il comando tcpdump

Setup

../../../_images/setup1.png

Questa esperienza usa

  • un firewall che usa una connessione tap che via l’host principale (la vostra macchina) vi permette la connessione ad internet.
  • un server che deve essere connesso ad internet tramite il firewall ma che non ci riesce nella condizione iniziale

Il file principale su cui dovete concentrarvi è /etc/argo/fw.conf che contiene la configurazione del firewall. Fate riferimento alla spiegazione sul sito reteisi.

Esercizio

  • verificate che il firewall va in internet
  • verificate che il pdc non ci va pingando un ip noto esterno
  • verificate che con tcpdump -ni eth1 icmp vedete arrivare i pacchetti icmp ma non li vedete sulla interfaccia eth0
  • usate il comando fwparse -k sul firewall per leggere in modo semplice il file /var/log/kern.log dove vengono loggati tutti i pacchetti droppati dal firewall (nella configurazione in uso)
  • analizzate fw.conf e cercate di capire se le variabili sono valorizzate correttamente o no. Ad ogni modifica dovere rilanciare la script: firewall restart
  • abilitate inoltre la porta ssh sull’interfaccia esterna

una volta sistemate le variabili opportune potete procedere a bloccare ogni attraversamento del firewall via la porta 80. Un modo non ortodosso ma funzionante è di attivare la redirezione al proxy, il modo più corretto è di aggiungere una riga nel fw.add come la seguente:

iptb -A fwd -s 192.168.10.0/24 - tcp --dport 80 -j bad

la catena bad

la catena bad utilizzata sopra, non solo no fa passare ma logga il pacchetto droppato in modo che si possa vedere con fwparse.

Nota

Nota

sulla vostra macchina presumibilmente non avere la script firewall e fwparse (che ho fatto io per Argo) e quindi potrebbe non essere così facile vedere i pacchetti che vengono bloccati.

Letture

Per una comprensione più approfondita di questa esperienza occorre capire il firewalling. I principi del firewalling che abbiamo trattato nella lezione 5. E` anche importante capire come funziona la script di firewalling (vedi pagina di manuale). L’HOWTO di riferimeno è quello di Rusty Russel (autore di iptables), scaricabile anche in formato pdf.