shorewall problema

never · Utente Registrato: Feb 17, 2004 Messaggi: 30

ciao a tutti!
ho un problema con la configurazione di shorewall su debian 4.
fino a poco tempo fa avevo un router con il firewall incorporato e per pigrizia di doverne mettere uno usavo quello. poi il router si è bruciato e ne ho preso un altro per l'esattezza un aethra as1041 che non possiede firewall.
ho una connessione su sheda di rete (eth2) in dhpc e non so magari se serve,come dns uso opendns.
ora per mettere un firewall ho pensato a shorewall e leggendo vari tutorial in rete l'ho impostato così:

nella pagina ufficiale di shorewall mi dice che per gli utenti debian la dir /etc/shrewall è vuota e devo andare in

/usr/share/doc/shorewall/default-config
e copiare il suo contenuto nella dir citata prima e quindi ho fatto

#cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/

quì posso quindi commentare i campi che mi interessano per il mio firewall modificando i campi di default

assicurarsi che in /etc/shorewall/shorewall.conf sia abilitata

STARTUP_ENABLE=No in STARTUP_ENABLE=Yes

andare in /etc/default/shorewall e cambiare

startup=0 in startup=1

fino a qui tutto fatto

ora i file da cambiare sono sostanzialmente quattro.

zones
interfaces
policy
rules

vado in interface

###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth2 detect dhcp
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

vado in zones

###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

vado in policy

###############################################################################
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
fw net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE

bene ora arriva il momento delle rules che per ora non ho inserito e volevo fare più tardi...a questo punto volevo almeno vedere se così impostato il firewall partiva

ho lanciato shorewall check
mi ha restituito la risposta -done-

poi shorewall start
mi ha restituito la risposta -done-

poi l'ho lanciato

/etc/init.d/shorewall start
mi ha restituito la risposta -done-

a questo punto ho pensato che il firewall era pronto...ho navigato i rete per alcuni secondi e i apparenza andava bene poi ho provato a fare un check su questi due siti per vedere la vulnerabilità del sistema e il risultato è stato disastroso

http://www.pcflank.com/scanner1.htm
https://www.grc.com/x/ne.dll?rh1dkyd2

facendo un tcp scanning le porte sono tutte -Chiuse- e non -Stealthed- e la porta 80 e 23 sempre aperte... in poche parole se il test lo eseguo con il firewall attivo o non attivo il risultato è sempre lo stesso.

ho constatato che però shorewall gira facendo questa prova

in policy ho messo drop anziche accept (cioè ho bloccato tutto il traffico) e in effetti non ho la possibilità di navigare

poi tenendo tutto così (cioe tutto bloccato) ho fatto la prova con le rules e ho aperto solamente i protocolli https e dns e in effetti se linko il sito in https
riportato qui sopra me lo apre poi quando fa lo scanning delle porte mi dice sempre che la porta 80 (http) è aperta anche se non ho a possibilità di visualizzare pagine in http perchè le ho lasciate chiuse.

dopo ogni modifica apportata ai file ho eseguito /etc/init.d/shorewall restart

non capisco perchè non fa uno Stealthed (sempre che magari debba farlo) però mi ricordo che quando ho fatto le prove con il vecchio router ancora funzionante con il firewall dell'apparecchio le porte me le dava Stealthed

grazie per l'attenzione

cià

tombo · Inviato: Lun Feb 25, 2008 6:00 pm Oggetto:

Scusa dell ritardo, nev.
Hai gia' risolto o sei ancora in panne?
_________________
The right information at the right place

never · Utente Registrato: Feb 17, 2004 Messaggi: 30

ciao tombo!
non preoccuparti per il ritardo nella risposta.
sono ancora in panne, come hai ben visto, però a breve cercherò di ridare una controllata al tutto per cercare di capire che cosa non è andato per il verso giusto.
ci sentiamo presto!
grazie ancora per la tua disponibilità.
buona serata.