-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alle 09:18, martedì 17 dicembre 2002, Ivano Natalini ha scritto:

> Scusa ma non capisco la tua risposta, comunque conosco anche
> io la documentazione in oggetto, ma se uno si rivolge alla ml,
> è perchè vuole accorciare i tempi,

aspetta
se uno vuole accorciare i tempi fa una ricerca in archivio e 
trova:

***
Messaggio firmato da Michele Asciutti (miKe) 
<[EMAIL PROTECTED]>
Alle 07:01, mercoledì 24 luglio 2002, hai scritto:
> Salve,
> sto cercando di configurare una piccola rete domestica, 
precedentemente
> con windows andava tutto ok, adesso sto provando a far 
dialogare il mio
> PC con Linux ed un'altro con windows me, per ora windows 
riconosce la
> rete e "vede" una cartella "pubblic" tuttavia a me servirebbe 
la
> condivisione della connessione ad internet...

la cosa è completamente diversa,
per condividere risorse in rete, tra macchine che utilizzano SMB,
devi configurare samba, il tuo server  GNU/Linux potrà quindi 
condividere dischi o stampanti con le macchine win$.
Al contrario se vuoi solo usare risorse condivise da win$, samba 
(server) non ti serve, ti basterà sambaclient per montare i 
dischi agganciandoli al tuo FS.
ti consiglio la lettura di uno dei tanti howto-tutorial su samba.

Se vuoi condividere la connessione ad internet invece, la tua 
macchina dovrà comportarsi da router,
devi quindi abilitare il passaggio dei pacchetti 
dall'interfaccia del modem (in genere ppp<n>) a quella/e di rete 
(eth<n>).

la cosa è semplice, basta inserire in uno script di avvio (es 
/etc/rc.local)

  echo 1 > /proc/sys/net/ipv4/ip_forward

In questo modi i pacchetti transiteranno tra le interfacce, 
senza nessun tipo di controllo/filtraggio (cioè sei in qualche 
modo 'vulnerabile' dall'esterno) la cosa si aggrava un pelino, 
considerando cha a questo punto non avrai solo una macchina su 
internet, ma 'n'.

Proprio per questo, in genere, al forward nudo, si abbina un 
filtraggio dei pacchetti (in pratica realizzi un firewall 
software, che si appoggia ad alcune prerogative del kernel Linux)
e un 'mascheramento' della connessione
(cioè, da internet, la lan che risiede dietro il router viene 
vista con un solo IP, quello assegnato cioè all'interfaccia 
ppp<n> della linuxbox)

Chiaramente ogni macchina potrà aprire connessioni verso 
l'esterno, navigare e scaricare posta e dati come se fosse 
fisicamente connessa al modem (banda permettendo).
Esiste cioè (nel mascheramento) un sistema di controlllo dello 
stato delle connessioni che tiene traccia di quale macchina 
abbia aperto il socket, per consentire la connessione 
trasperente agli utenti.

per mascherare una connessione, senza adentrarsi troppo nella 
scrittura di semplici regole di firewalling è sufficiente 
inserire (a questo punto in uno script a parte, da lanciare 
quando serve)

iptables -P FORWARD ACCEPT
(accetta il passaggio dei pacchetti in transito tra le 
interfacce)

iptables -A FORWARD -i ppp<n> -m state --state NEW,INVALID -j 
REJECT
(rifiuta i pachetti che tentano di aprire connessioni da ppp<n> 
'internet' verso la nostra macchina/rete, ricorda che è 
possibile invece il contrario, cioè aprire connessioni)

iptables -t nat -A POSTROUTING -o ppp<n> -j MASQUERADE
(questo è il mascheramento vero e proprio, cioè i pacchetti 
sulla catena postrouting in uscita su ppp<n>, vengono 
mascherati, indipendentemente quindi dall'IP sorgente, verranno 
visti come prodotti dall'IP della ppp<n>

Quanto sopra è solo un inizio,
necessari netfilter-howto
masquerading-howto
e qualcosa su routing e protocolli di rete (tcp, stato di una 
connessione, almeno le basi)


> qualcuno puo' dirmi come
> fare (magari specificandomi quali protocolli servono su 
winzozz per far
> fungere il tutto e quali impostazioni dare)?

su win$ basta il nudo tcp/ip
un indirizzo fisso (qualsiasi classe andrà bene, sei mascherato, 
meglio comunque una riservata, in modo che nessun router possa 
mai mandarti pacchetti che per 'caso' abbiano un ip congruente 
con uno dei tuoi,
questo è uno dei controlli di sanità ulteriori, che puoi 
aggiungere al firewalll)
diciamo che 192.168.x.x
o 10.x.x.x
andranno benone

dovrai impostare l'IP interno (su eth<n> della macchina router 
GNU/Linux, come dafault gatewai sule macchine win$
null'altro
***

oppure

***

Messaggio firmato da Michele Asciutti (miKe) 
<[EMAIL PROTECTED]>
Alle 19:07, mercoledì 16 ottobre 2002, paolo brusasco ha scritto:
> ciao a tutti.
>
> ho installato firestarter (0.8.2) su e da mdk 8.2download.
> uso internet per semplice navigazione e posta domestica, 
connesso
> via modem. non mi è chiaro quali porte devo lasciare aperte e 
per
> chi.

leggi il netfilter howto
spiega come configurare un firewall generico

in generale comunque, non essendo un server, la tua macchina 
deve chiudre TUTTE le porte verso l'esterno, a meno di  avere 
instaurato LEI una connessione,
sono 3 linee di iptables...

******
Administrator@mdk:~$ cat /etc/rc.d/firewall
#!/bin/sh
echo "Attivazione Firewall..."
chain=DROP  # policy predefinita
DNS=#inserire ip del dns
echo "Azzero le chain"
iptables -t  filter -F
iptables -t  filter -X
#
echo "Make Policy"
iptables -t  filter   -P OUTPUT ACCEPT
iptables -t  filter   -P  INPUT $chain
iptables -t  filter   -A  INPUT -i lo  -j ACCEPT
#
echo "Abilita log.."
iptables -t  filter   -A INPUT -p tcp --syn -j LOG
#
echo "Accetto le connessioni aperte dall'interno 
RELATED/ESTABLISHED ..."
iptables -t  filter  -A INPUT -m state --state 
ESTABLISHED,RELATED -j ACCEPT
#
echo "Accetto  risposte DNS "
iptables -t  filter  -A INPUT -p udp -s $DNS --sport 53 -j ACCEPT
iptables -t  filter  -A INPUT -p udp -s $DNS --sport 53 -j ACCEPT
#
echo "Accetto ICMP type 0,3,11 ..."
iptables -t  filter  -A INPUT -p icmp --icmp-type 0   -j ACCEPT
iptables -t  filter  -A INPUT -p icmp --icmp-type 3   -j ACCEPT
iptables -t  filter  -A INPUT -p icmp --icmp-type 11  -j ACCEPT
iptables -t  filter  -A INPUT -p icmp --icmp-type 15  -j ACCEPT
iptables -t  filter  -A INPUT -p icmp --icmp-type 16  -j ACCEPT
#
echo "Done."

******
mentre se, come dici,  conosci la documentazione indicata da 
LukenShiro 
hai già tutti gli script, belli e pronti,  da copiaincollare

bye

miKe

- --
________________________________________
Slackware 8.1 GNU/Linux 2.4.20 @ hp  Xe3
R.U.#219755 -- S.R.U.#705 -- R.M.#110932
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9/6D0F/9fksDJ4y0RAmjHAJ4hbxgQma1G3kJ4Lo8nVOzIihyXUwCfYznV
zglkw1OnB3zvIkom/SIKPpg=
=f5cg
-----END PGP SIGNATURE-----

Rispondere a