iptables o pf ?

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

iptables o pf ?

Marco Spiga-2
Ciao a tutti.

Il firewall di linux ha questa caratteristica:

iptables -A FORWARD -i ppp0 -o eth1 -j DROP

in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....

Come esegue questa funzionalità il firewall di openbsd?


--
                                !!!!! Messaggio da Marco !!!!!
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: iptables o pf ?

Sandro guly Zaccarini-2
On Sat, Mar 11, 2006 at 10:54:49AM +0100, Marco Spiga wrote:

> Ciao a tutti.
>
> Il firewall di linux ha questa caratteristica:
>
> iptables -A FORWARD -i ppp0 -o eth1 -j DROP
>
> in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
> del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....
>
> Come esegue questa funzionalità il firewall di openbsd?

leggendo le FAQ[1] di pf. non chiediamo spiegazioni di cose gia` (molto) ben
documentate.

sz

[1] http://www.openbsd.org/faq/pf/index.html

--
  /"\   ASCII RIBBON CAMPAIN
  \ /     AGAINST HTML MAIL
   X    
  / \   GPG Public Key http://www.guly.org/guly.asc

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: iptables o pf ?

Marco Spiga-2
In reply to this post by Marco Spiga-2
>
> Message: 4
> Date: Tue, 14 Mar 2006 08:23:39 +0100
> From: Sandro guly Zaccarini <[hidden email]>
> Subject: Re: [openbsd] iptables o pf ?
> To: [hidden email]
> Message-ID: <[hidden email]>
> Content-Type: text/plain; charset=iso-8859-1
>
> On Sat, Mar 11, 2006 at 10:54:49AM +0100, Marco Spiga wrote:
> > Ciao a tutti.
> >
> > Il firewall di linux ha questa caratteristica:
> >
> > iptables -A FORWARD -i ppp0 -o eth1 -j DROP
> >
> > in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
> > del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....
> >
> > Come esegue questa funzionalità il firewall di openbsd?
>
> leggendo le FAQ[1] di pf. non chiediamo spiegazioni di cose gia` (molto) ben
> documentate.
>
Si Sandro le ho lette (più di una volta), ma ti confermo che in PF non ho trovato tale funzionalità.

Se invece intendi che potrei usare due regole del tipo:

block in on $dmzif from $lanif:network to $dmzif:network (per favore correggimi se sbaglio)
block in on $lanif from $dmzif:network to $lanif:network
per me non è assolutamente uguale alla regola di iptables in questione (essa è indipendente dagli indirizzi ip).

Visto che sono neofita di OpenBSD speravo di trovare un piccolo aiuto su un'argomento talmente banale.

Grazie comunque per avermi almeno risposto.

Ciao!!

Marco


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: iptables o pf ?

Alessio L.R. Pennasilico
On Wed, 2006-03-15 at 19:18 +0100, Marco Spiga wrote:

> > > Il firewall di linux ha questa caratteristica:
> > >
> > > iptables -A FORWARD -i ppp0 -o eth1 -j DROP
> > >
> > > in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
> > > del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....
> > >
> > > Come esegue questa funzionalità il firewall di openbsd?
> >
> > leggendo le FAQ[1] di pf. non chiediamo spiegazioni di cose gia` (molto) ben
> > documentate.
> >
> Si Sandro le ho lette (più di una volta), ma ti confermo che in PF non ho trovato tale funzionalità.
>
> Se invece intendi che potrei usare due regole del tipo:
>
> block in on $dmzif from $lanif:network to $dmzif:network (per favore correggimi se sbaglio)
> block in on $lanif from $dmzif:network to $lanif:network
> per me non è assolutamente uguale alla regola di iptables in questione (essa è indipendente dagli indirizzi ip).
poichè stiamo parlando di due firewall che ragionano in modo diverso,
sarebbe di aiuto se descrivessi cosa vuoi fare esattamente, cosi' da
capire le tue esigenze e suggerirti le regole adatte.

ppp0 e' l'interfaccia esterna? (extif?)
eth1 e' una dmz e non una lan?

vuoi vietare il traffico dall'esterno alla dmz?

che vuoi fare in che scenario?

un mayhem e le decisioni da prendere
--
E non parlarmi di sentimenti di sabato mattina che mi viene da vomitare.
https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

signature.asc (198 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: iptables o pf ?

sand-7
In reply to this post by Marco Spiga-2
Marco Spiga wrote:
> Il firewall di linux ha questa caratteristica:
>
> iptables -A FORWARD -i ppp0 -o eth1 -j DROP
>
> in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
> del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....
>
> Come esegue questa funzionalità il firewall di openbsd?

Se intendi "applicare una regola specificando i nomi delle interfacce al
posto degli indirizzi ip" allora si, puoi farlo:

block in on tun0 from any to rl0

man pf.conf ti illuminera'

ALTRIMENTI, BHO?


sand
--
Hi, I'm a .signature virus! Copy me to your .signature file and
help me propagate, thanks!
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: iptables o pf ?

Nicola Bianchi-2
In reply to this post by Marco Spiga-2

>>>Ciao a tutti.
>>>
>>>Il firewall di linux ha questa caratteristica:
>>>
>>>iptables -A FORWARD -i ppp0 -o eth1 -j DROP
>>>
>>>in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
>>>del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....
>>>
>>>Come esegue questa funzionalità il firewall di openbsd?

Per quel che ne so la catena di FORWARD non esiste in PF. Devi lavorare
solo con output e inpunt.

Forward è tipica di ipatables.

Saluti
        nicola
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: iptables o pf ?

Marco Spiga-2
In reply to this post by Marco Spiga-2
> On Wed, 2006-03-15 at 19:18 +0100, Marco Spiga wrote:
>
> > > > Il firewall di linux ha questa caratteristica:
> > > >
> > > > iptables -A FORWARD -i ppp0 -o eth1 -j DROP
> > > >
> > > > in questa brevissima riga in pratica posso gestire il traffico tra le interfaccie in entrata e in uscita
> > > > del firewall, ignorando completamente (se voglio) indirizzi ip, porte ecc....
> > > >
> > > > Come esegue questa funzionalità il firewall di openbsd?
> > >
> > > leggendo le FAQ[1] di pf. non chiediamo spiegazioni di cose gia` (molto) ben
> > > documentate.
> > >
> > Si Sandro le ho lette (più di una volta), ma ti confermo che in PF non ho trovato tale funzionalità.
> >
> > Se invece intendi che potrei usare due regole del tipo:
> >
> > block in on $dmzif from $lanif:network to $dmzif:network (per favore correggimi se sbaglio)
> > block in on $lanif from $dmzif:network to $lanif:network
> > per me non è assolutamente uguale alla regola di iptables in questione (essa è indipendente dagli indirizzi ip).
>
> poichè stiamo parlando di due firewall che ragionano in modo diverso,
> sarebbe di aiuto se descrivessi cosa vuoi fare esattamente, cosi' da
> capire le tue esigenze e suggerirti le regole adatte.
>
> ppp0 e' l'interfaccia esterna? (extif?)
> eth1 e' una dmz e non una lan?
>
No, non prenderle come riferimento, potevano essere eth3 e eth9.
> vuoi vietare il traffico dall'esterno alla dmz?
>
> che vuoi fare in che scenario?
>
Es:
WANIF = "eth0"
LANIF = "eth1"
DMZIF = "eth2"
Tra la lan e la dmz voglio negare il traffico a prescindere da indirizzi ip, porte.
iptables -A FORWARD -i $WANIF -o $LANIF -j DROP
iptables -A FORWARD -i $LANIF -o $WANIF -j DROP
o semplicemente:
Setto una policy di negazione su tutte le interfaccie.
iptables -P FORWARD DROP

Tutto il traffico in entrata sulla eth0 e in uscita dalla eth2 (wan -> dmz) con stato NEW,RELATED,ESTABLISHED è consentito.
iptables -A FORWARD -i $WANIF -o $DMZIF -p tcp -state -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Tutto il traffico in entrata sulla eth2 e in uscita dalla eth0 (dmz -> wan) con stato RELATED,ESTABLISHED è consentito (includendo porte ed indirizzi)
iptables -A FORWARD -i $DMZIF -o $WANIF -p tcp -s 34.34.34.35 --sport 45 -d 90.90.90.90 --dport 44 -m state --state RELATED,ESTABLISHED -j ACCEPT

Questo è solo lo studio di pianificazione per un firewall futuro con una grossa mole di traffico.
Non ho ancora dettagli tecnici, so solo che dovrà adattarsi facilmente a diverse configurazioni di traffico, e possibilmente ridondante.
Dovrà gestire reti non direttamente connesse non so ancora quante interfacce avrà e vista la mole di indirizzi ip che dovrà gestire mi interessa poter "SEPARARE" il traffico tra queste.

> un mayhem e le decisioni da prendere

A presto
Marco

> --
> E non parlarmi di sentimenti di sabato mattina che mi viene da vomitare.
> https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057
> -------------- parte successiva --------------
> Un allegato non testuale è stato rimosso....
> Nome:        non disponibile
> Tipo:        application/pgp-signature
> Dimensione:  191 bytes
> Descrizione: This is a digitally signed message part
> Url:         /archivio.html#openbsd/attachments/20060315/5e245f90/attachment-0001.pgp
>
> ------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List