Condividi:        

IPTABLES per esclusione siti o navigazione limitata

Per tutti i tuoi problemi Linux entra qui e risolvili!

Moderatori: Anthony47, gunter, zendune

IPTABLES per esclusione siti o navigazione limitata

Postdi Dylan666 » 28/01/06 17:56

Mi rivolgo alla sezione Linux avendo un router D-link con BusyBox v0.61 al quale vorrei configurare gli IPTABLES.

Sono agli inizi nel mondo del pinguino e devo dire che leggermi grandi tutorial sui firewall in generale non ha poi prodotto grandi risultati per i piccoli quesiti che ho:

1) come fare a scludere la navigazione su alcuni siti?

2) come si fa a limitare la navigazione solo su alcuni siti?

3) come applicare tali filtri sono per un IP della mia lan, in modo che gli altri PC navignio tranquillamente?

Sarei felicissimo se mi diceste che esiste una interfaccia grafica da usare su una distro per poter fare poi un bel copia e incolla nel telnet del mio router con le regole create.

Per ora per l'esclusione ho trovato questo:
Codice: Seleziona tutto
# iptables -I INPUT -s IP_ADDRESS_HERE -j DROP
Avatar utente
Dylan666
Moderatore
 
Post: 40097
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi zendune » 29/01/06 19:29

Supponendo che le politiche di default siano su DROP, avrai certamente imposto delle regole generali valide per tutti gli ip della rete.
Io creerei una catena ad hoc solo per l'ip interessato:
Codice: Seleziona tutto
iptables -N dylan
iptables -A dylan -p tcp -d www.sito.ammesso -j ACCEPT
............
iptables -A dylan -j DROP

In questo caso, quando viene passato il controllo alla catena, se è presente il sito ammesso, sarà possibile accedervi, altrimenti verrà applicata l'ultima regola -j DROP.
Basta ora dire al firewall quando passarle il controllo:
Codice: Seleziona tutto
iptables -A OUTPUT -s ip_da_monitorare -j dylan

Quando in uscita vi saranno dati provenienti da ip_da_monitorare, il controllo verrà passato alla catena.
E' da tenere presente che iptables esegue le istruzioni in modo sequenziale ed 'esce' alla prima regola vera.
Non exercitus neque thesauri praesidia regni sunt, verum amici, quos neque armis cogere neque auro parare queas: officio et fide pariuntur
Avatar utente
zendune
Moderatore
 
Post: 1660
Iscritto il: 15/03/03 18:34
Località: Brescia

Postdi disgrazia » 29/01/06 22:53

Ottima idea Zendune, mi permetto solo di fare alcune piccole aggiunte:

crei la tabella con i siti da consentire
Codice: Seleziona tutto
iptables -N dylan 


impostiamo la policy di default:
Codice: Seleziona tutto
iptables -P dylan DROP

è meglio usare la policy di default invece di un'unica riga che fa match con tutto, così se aggiungiamo altre regole funzionano senza ulteriori modifiche

Dopodiché popoliamo la tabella con solo indirizzi IP, evitando nomi DNS. Cito da man iptables:"please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea"
Codice: Seleziona tutto
iptables -A dylan -p tcp -d ip.sito.ammesso -j ACCEPT


Infine aggiungiamo il controllo alla OUTPUT chain. E' meglio inserire queste entry all'inizio. Infatti se le mettiamo alla fine la tabella dylan potrebbe non venir valutata se qualche regola fa match prima, il che potrebbe causare il mancato funzionamento delle regole di blocco del traffico non autorizzato.
Codice: Seleziona tutto
iptables -I OUTPUT 1 -s ip_da_monitorare -j dylan
disgrazia
Download Admin
 
Post: 708
Iscritto il: 08/07/02 22:16

Postdi zendune » 30/01/06 14:15

Come vedi Dylan, Linux mostra sempre la sua versatilità :P
La lettura di una buona guida su netfilter è obbligatoria ed un tutorial su iptables è necessaria.
Un buon firewall non ha bisogno di 300.000 righe, ne bastano poche ma ben progettate.

PS Il problema dei DNS è abbastanza complesso e capisco perchè NON è una buona idea utilizzarlo. Il DNS potrebbe essere compromesso, il DNS potrebbe avere problemi, ecc.... L'utilizzo dell'ip è una soluzione a varie problematiche (non tutte) ma è vero pure che se l'elenco dei siti aumenta novemolmente, la gestione degli ip diventa insostenibile.
Quando ho letto la richiesta di Dylan (bypassando il preambolo del suo router D_Link) gli avrei suggerito l'installazione di un proxy server tipo squid ed avrebbe risolto molti dei suoi problemi.
Non exercitus neque thesauri praesidia regni sunt, verum amici, quos neque armis cogere neque auro parare queas: officio et fide pariuntur
Avatar utente
zendune
Moderatore
 
Post: 1660
Iscritto il: 15/03/03 18:34
Località: Brescia


Torna a Software Linux


Topic correlati a "IPTABLES per esclusione siti o navigazione limitata":


Chi c’è in linea

Visitano il forum: Nessuno e 115 ospiti