Re: Blocco P2P su rete wifi pubblica
Il 06/12/07, Raven<raven@vp44.net> ha scritto:
> Salve a tutti.
> [...]
> Sulla stessa rete a cui è collegato il router wireless (che fa NAT) ho
> alcune macchine debian che uso per il testing.
> I client wifi fanno pero' parte di una diversa sottorete:
>
> router (10.0.1.1)
> --> debian-box (10.0.1.2)
> --> (10.0.1.5) router_wifi (10.0.2.1) -> clients (10.0.2.x)
>
> Avendo un po' di esperienza con squid ho subito pensato a mettere su un
> transparent proxy sulla debian-box ma non so esattamente come gestire le
> connessioni con iptables.
> Io voglio permettere ai client wifi (10.0.1.5) soltanto traffico
> http-https-ftp-msn messenger-skype facendolo passare attraverso squid,
> ma non so come dirlo a iptables visto che il pc ha una sola interfaccia
> di rete.
>
> Altra opzione che mi era venuta in mente era di utilizzare l7-filter o
> ipp2p, ma a quanto pare sono sconsigliati nel caso di blocco traffico.
> In alternativa, sempre con iptables, se io permettessi soltanto le
> connessioni con dest-port 80, 443, 21 (+ skype e msn messenger),
> potrebbe forse funzionare?
Io sono un po' all'"antica", nel senso che preferisco usare regole
molto restrittive di iptables che affidarsi a questi sistemi, perché
comunque sono ancora in fase di sviluppo, mentre Netfilter è già più
stabile.
Io personalmente bloccherei tutte le porte eccetto dns-http-https-ftp
(che sono i servizi che vuoi abilitare), quindi userei delle regole
come:
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 21,53,80,443 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
Non so che porta usino skype e msn messenger, ma se usi squid puoi
farle passare attraverso squid senza sbloccare la porta.
--
Dario Pilori
Linux registered user #406515
"Per chi intraprende cose belle è bello soffrire, qualsiasi cosa gli tocchi"
Platone, /Fedro/
Reply to: