Fabio Bizzi wrote:
Hai le idee un pò confuse, il transparent firewall si frappone
*FISICAMENTE* tra il tuo GW e la tua LAN in modo che possa filtrare
in maniera *trasparente* tutto il traffico, uno schema ipotetico
potrebbe essere questo:
192.168.1.x 0.0.0.0 0.0.0.0 192.168.1.254 PUB
PC/Server<-->Switch<-->Transparent Firewall<-->Router/NAT<-->Internet
bellino!! :)
Per fare questo devi in prima istanza tirare su le interfacce
Ethernet senza assegnare alcun IP e poi devi configurare il bridging.
Fatto questo usi le IPTABLES specificando per ogni regola IP sorgente
ed IP destinazione es:
ifconfig eth0 0.0.0.0 <-Configuri eth0
ifconfig eth1 0.0.0.0 <-Configuri eth1
modprobe bridge <-Carichi il modulo di bridging
brctl addbr br0 <-Crei il tuo bridge
brctl addif br0 eth0 <-Inserisci le due interfacce
brctl addif br0 eth1 <-Ethernet che devi "bridggiare" ;)
brctl stp off <-Disabiliti lo Spanning Tree (a volte aiuta)
Da non dimenticare il forwarding dell'IP:
echo "0" > /proc/sys/net/ipv4/ip_forward
Fatto questo hai creato un bridge sulla tua lan, ora devi impostare
le IPTABLES per filtrare il traffico ad es:
iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.5 --dport 1433
-j DROP
non avevo pensato a questa opzione... molto bella.
Così dovrebbe poter funzionare, calcola che una cosa del genere l'ho
implementata un paio di anni fà e quindi se non sono stato preciso
perdonami, ma la memoria non è più quella di una volta!!!! :)
perdonato! :)
vado a comprare il materiale per le prove e vi faccio sapere nei
prossimi giorni
ciao
MaX
______________________________________________ Renovamos el Correo
Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es