# [Risolto]Isolare Reti.

## TeoBì

Salve Ragazzi,

 avrei il seguente problema.

Ho una rete composta da un router, un pc linux con gentoo come firewall con 3 schede di rete , e due 5 pc in una sottorete A e 4 in un altra sottorete B.

  1) il router è attaccato a eth0 del pc con gentoo.

  2) la sottorete A è attaccata a eth1 del pc gentoo

  3) la sottorete B è attaccata a eth2 del pc gentoo

  4) sia la sotterete A che B devono navigare in internet

IL PROBLEMA è che la sottorete A non deve vedere la sottorete B e viceversa, per fare un esempio non si devono pingare.

Il firewall del pc gentoo ha la seguente configurazione:

```

iptables -A INPUT -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j DROP

iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j DROP

iptables -A INPUT -i eth2 -m state --state NEW,RELATED,ESTABLISHED -j DROP

iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -o eth0 -j MASQUERADE

iptables -A POSTROUTING -t nat -s 172.16.0.0/24 -o eth0 -j MASQUERADE

```

SPECIFICO che sottorete A è eth1 con 10.0.0.0/24 e sottorete B è eth2 con 172.16.0.0/24

A e B vanno in internet come devono andare però nonostante il drop di iptable se da A provo a pingare un pc di B o viceversa si pingano, mentre io vorrei propio il contrario , che non si vedessero per niente, tra l'altro le classi di reti sono completamente diverse, eppure si pingano.

Se il topic ho sbagliato ha metterlo qui mi scuso, perchè è una configuazione di gentoo ma forse riguarda qualcosa di più generale delle reti, cmp ditemi voi, lo sposto senza problemi.

Grazie già in anticipo a tutti per la vostra attenzione. Cordiali Saluti Matteo.Last edited by TeoBì on Wed Feb 07, 2007 7:48 pm; edited 1 time in total

----------

## .:chrome:.

le due sottoreti distinte sono sufficienti per fare distinzione. basta che non ci siano regole di routing che permettano il passaggio dall'una all'altra. si tratta per lo più di regole di forward.

per il ping non vedo quale sia il problema. ping è un pacchetto innocente e necessario. non mi dannerei l'anima per impedire i ping

----------

## edux

Però secondo me così un pc della rete A riesce a vedere uno della B, perchè sono due reti diverse ma hanno entrambe come gateway il pc gentoo, per cui quando una rete fa richiesta di un indirizzo dell'altra al pc gentoo questo lo trova e li mette tranquillamente in comunicazione.

Se vuoi impedire la comunicazione tra le due reti devi impostare il router gentoo in modo tale che le richieste provenienti da una rete e dirette all'altra vengano droppate.

Inoltre non capisco bene a cosa servano le prime righe del tuo iptables.

 *.:chrome:. wrote:*   

> 
> 
> per il ping non vedo quale sia il problema. ping è un pacchetto innocente e necessario. non mi dannerei l'anima per impedire i ping
> 
> 

 

Dimmelo quando avrai subito degli attacchi di icmp flood.

----------

## X-Drum

 *edux wrote:*   

> Dimmelo quando avrai subito degli attacchi di icmp flood.

 

si esiste questa possibilitÃ  ma nel caso specifico se la sua lan Ã¨ quella casalinga

non credo che passi le giornate ad auto-floddarsi :]

----------

## edux

 *X-Drum wrote:*   

> 
> 
> si esiste questa possibilità  ma nel caso specifico se la sua lan è quella casalinga
> 
> non credo che passi le giornate ad auto-floddarsi :]
> ...

 

Beh spero anch'io, ma il mio era un discorso in generale...

----------

## randomaze

Moved from Forum italiano (Italian) to Forum di discussione italiano.

----------

## GiRa

 *edux wrote:*   

> Dimmelo quando avrai subito degli attacchi di icmp flood.

 

```
-m limit
```

 meglio avere i ping che vanno almeno riesci a fare diagnostica.

----------

## TeoBì

```

Dimmelo quando avrai subito degli attacchi di icmp flood.

```

è chiaro che il ping non è un problema, il problema è che sono visibili tutte le porte quindi può funzionare la condivisione dei files,il deskstop remoto e via dicendo; è chiaro che attivando un firewall sulle singole macchine si può impedire tutto questo ma io volevo farlo a monte con il firewall gentoo linux, solamente che ciò non avviene , quando attivo l'ip_forward le due reti A e B si iniziano a vedere.

Grazie per la vostra attensione, cordiali saluti.

----------

## edux

 *GiRa wrote:*   

> 
> 
>  meglio avere i ping che vanno almeno riesci a fare diagnostica.
> 
> 

 

Giusto.

 *TeoBì wrote:*   

> 
> 
> è chiaro che attivando un firewall sulle singole macchine si può impedire tutto questo ma io volevo farlo a monte con il firewall gentoo linux, solamente che ciò non avviene , quando attivo l'ip_forward le due reti A e B si iniziano a vedere
> 
> 

 

Puoi implementare delle politiche di routing sul gateway gentoo in modo che le comunicazioni provenienti da rete A e dirette verso B e viceversa siano bloccate. Questo risolverebbe il problema della comunicazione tra le due reti.

----------

## Kernel78

Posta un route -n del gateway gentoo

----------

## TeoBì

 *Kernel78 wrote:*   

> Posta un route -n del gateway gentoo

 

```

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1

192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth2

127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo

0.0.0.0         192.168.2.254   0.0.0.0         UG    0      0        0 eth0

```

----------

## TeoBì

 *edux wrote:*   

>  *GiRa wrote:*   
> 
>  meglio avere i ping che vanno almeno riesci a fare diagnostica.
> 
>  
> ...

 

Saresti così gentile da indicarmi qualche comando, grazie mille Saluti Matteo.

----------

## Kernel78

la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A

----------

## edux

 *Kernel78 wrote:*   

> 
> 
> la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A
> 
> 

 

Prima di postare leggi sempre i post precedenti, onde evitare inutili ripetizioni, grazie.

 *TeoBì wrote:*   

> 
> 
> Saresti così gentile da indicarmi qualche comando, grazie mille Saluti Matteo.
> 
> 

 

```

iptables -A INPUT -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,ESTABLISHED -j DROP
```

Con questa regola dovresti bloccare tutto il traffico dalla rete A alla rete B, se non mi sbaglio (perchè potrei...).

----------

## djinnZ

```
iptables -A INPUT -m mac -s 10.0.0.0/24 ! --mac-source [mac di eth2] -j DROP

iptables -A INPUT -m mac -s 172.16.0.0/24 ! --mac-source [mac di eth1] -j DROP
```

se non erro dovrebbe andare anche con i furbi che dovessero pensare di poter usare una rete fisica con l'ip dell'altra.

altrimenti 

```
-i eth2 ! -s 10.0.0.0/24 -j DROP
```

 dovrebbe ottenere lo stesso effetto in modo più pulito.

----------

## Kernel78

 *edux wrote:*   

>  *Kernel78 wrote:*   
> 
> la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A
> 
>  
> ...

 

Ho riletto ancora ma l'unica affermazione "simile" alla mia è la tua ma tu ti riferivi a "politiche di routing" mentre io (e adesso anche tu) ho suggerito di usare regole del firewall per bloccare, mentre a quanto ne so (ma potrei sbagliarmi) le regole di routing servono appunto per creare strade, non per bloccare (normalmente prerogativa del firewall).

Se tu la ritieni una ripetizione a me sembrava più una doverosa chiarificazione ... (sempre che tu ti riferissi alla tua affermazione e non a qualche altro post).

----------

## TeoBì

 *edux wrote:*   

>  *Kernel78 wrote:*   
> 
> la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A
> 
>  
> ...

 

Ragazzi grazie mille veramente, siete stati grandi. Cmp le regole giuste sono le seguenti:

```

iptables -A FORWARD -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP

iptables -A FORWARD -i eth2 -d 10.0.0.0/24 -s 172.16.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP

```

Con queste due regole A E B non si vedeno assolutamente e riescono tranquillamente a navigare in internet. Grazie di cuore a tutti.

Saluti Matteo.

----------

## edux

 *Kernel78 wrote:*   

> 
> 
> Ho riletto ancora ma l'unica affermazione "simile" alla mia è la tua ma tu ti riferivi a "politiche di routing" mentre io (e adesso anche tu) ho suggerito di usare regole del firewall per bloccare, mentre a quanto ne so (ma potrei sbagliarmi) le regole di routing servono appunto per creare strade, non per bloccare (normalmente prerogativa del firewall). 
> 
> 

 

Touché! Sì in effetti ho sbagliato a scrivere "politiche di routing", intendendo invece il firewall...scusate!

 *TeoBì wrote:*   

> 
> 
> Grazie di cuore a tutti.
> 
> 

 

Ehi figurati, qua ci si diverte e basta!

----------

## GiRa

 *TeoBì wrote:*   

> 
> 
> ```
> 
> iptables -A FORWARD -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
> ...

 

Secondo me sarebbe più sicuro dire che se l'ingresso è eth1 e l'uscita è eth2 deve bloccare, così eviti MAC spoofing ed IP spoofing.

----------

## TeoBì

 *GiRa wrote:*   

>  *TeoBì wrote:*   
> 
> ```
> 
> iptables -A FORWARD -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
> ...

 

Ok, l'idea effettivamente è giusta, solo che non ho molta pratica con iptables , ho provato e funziona con questa sintassi, è quello che intendevi tu?

```

iptables -A FORWARD -i eth2 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j DROP

iptables -A FORWARD -i eth1 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j DROP

```

Cordiali Saluti Matteo.

----------

## GiRa

Ben fatto eheheh.

----------

