-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Alle 09:18, martedì 17 dicembre 2002, Ivano Natalini ha scritto:
> Scusa ma non capisco la tua risposta, comunque conosco anche > io la documentazione in oggetto, ma se uno si rivolge alla ml, > è perchè vuole accorciare i tempi, aspetta se uno vuole accorciare i tempi fa una ricerca in archivio e trova: *** Messaggio firmato da Michele Asciutti (miKe) <[EMAIL PROTECTED]> Alle 07:01, mercoledì 24 luglio 2002, hai scritto: > Salve, > sto cercando di configurare una piccola rete domestica, precedentemente > con windows andava tutto ok, adesso sto provando a far dialogare il mio > PC con Linux ed un'altro con windows me, per ora windows riconosce la > rete e "vede" una cartella "pubblic" tuttavia a me servirebbe la > condivisione della connessione ad internet... la cosa è completamente diversa, per condividere risorse in rete, tra macchine che utilizzano SMB, devi configurare samba, il tuo server GNU/Linux potrà quindi condividere dischi o stampanti con le macchine win$. Al contrario se vuoi solo usare risorse condivise da win$, samba (server) non ti serve, ti basterà sambaclient per montare i dischi agganciandoli al tuo FS. ti consiglio la lettura di uno dei tanti howto-tutorial su samba. Se vuoi condividere la connessione ad internet invece, la tua macchina dovrà comportarsi da router, devi quindi abilitare il passaggio dei pacchetti dall'interfaccia del modem (in genere ppp<n>) a quella/e di rete (eth<n>). la cosa è semplice, basta inserire in uno script di avvio (es /etc/rc.local) echo 1 > /proc/sys/net/ipv4/ip_forward In questo modi i pacchetti transiteranno tra le interfacce, senza nessun tipo di controllo/filtraggio (cioè sei in qualche modo 'vulnerabile' dall'esterno) la cosa si aggrava un pelino, considerando cha a questo punto non avrai solo una macchina su internet, ma 'n'. Proprio per questo, in genere, al forward nudo, si abbina un filtraggio dei pacchetti (in pratica realizzi un firewall software, che si appoggia ad alcune prerogative del kernel Linux) e un 'mascheramento' della connessione (cioè, da internet, la lan che risiede dietro il router viene vista con un solo IP, quello assegnato cioè all'interfaccia ppp<n> della linuxbox) Chiaramente ogni macchina potrà aprire connessioni verso l'esterno, navigare e scaricare posta e dati come se fosse fisicamente connessa al modem (banda permettendo). Esiste cioè (nel mascheramento) un sistema di controlllo dello stato delle connessioni che tiene traccia di quale macchina abbia aperto il socket, per consentire la connessione trasperente agli utenti. per mascherare una connessione, senza adentrarsi troppo nella scrittura di semplici regole di firewalling è sufficiente inserire (a questo punto in uno script a parte, da lanciare quando serve) iptables -P FORWARD ACCEPT (accetta il passaggio dei pacchetti in transito tra le interfacce) iptables -A FORWARD -i ppp<n> -m state --state NEW,INVALID -j REJECT (rifiuta i pachetti che tentano di aprire connessioni da ppp<n> 'internet' verso la nostra macchina/rete, ricorda che è possibile invece il contrario, cioè aprire connessioni) iptables -t nat -A POSTROUTING -o ppp<n> -j MASQUERADE (questo è il mascheramento vero e proprio, cioè i pacchetti sulla catena postrouting in uscita su ppp<n>, vengono mascherati, indipendentemente quindi dall'IP sorgente, verranno visti come prodotti dall'IP della ppp<n> Quanto sopra è solo un inizio, necessari netfilter-howto masquerading-howto e qualcosa su routing e protocolli di rete (tcp, stato di una connessione, almeno le basi) > qualcuno puo' dirmi come > fare (magari specificandomi quali protocolli servono su winzozz per far > fungere il tutto e quali impostazioni dare)? su win$ basta il nudo tcp/ip un indirizzo fisso (qualsiasi classe andrà bene, sei mascherato, meglio comunque una riservata, in modo che nessun router possa mai mandarti pacchetti che per 'caso' abbiano un ip congruente con uno dei tuoi, questo è uno dei controlli di sanità ulteriori, che puoi aggiungere al firewalll) diciamo che 192.168.x.x o 10.x.x.x andranno benone dovrai impostare l'IP interno (su eth<n> della macchina router GNU/Linux, come dafault gatewai sule macchine win$ null'altro *** oppure *** Messaggio firmato da Michele Asciutti (miKe) <[EMAIL PROTECTED]> Alle 19:07, mercoledì 16 ottobre 2002, paolo brusasco ha scritto: > ciao a tutti. > > ho installato firestarter (0.8.2) su e da mdk 8.2download. > uso internet per semplice navigazione e posta domestica, connesso > via modem. non mi è chiaro quali porte devo lasciare aperte e per > chi. leggi il netfilter howto spiega come configurare un firewall generico in generale comunque, non essendo un server, la tua macchina deve chiudre TUTTE le porte verso l'esterno, a meno di avere instaurato LEI una connessione, sono 3 linee di iptables... ****** Administrator@mdk:~$ cat /etc/rc.d/firewall #!/bin/sh echo "Attivazione Firewall..." chain=DROP # policy predefinita DNS=#inserire ip del dns echo "Azzero le chain" iptables -t filter -F iptables -t filter -X # echo "Make Policy" iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P INPUT $chain iptables -t filter -A INPUT -i lo -j ACCEPT # echo "Abilita log.." iptables -t filter -A INPUT -p tcp --syn -j LOG # echo "Accetto le connessioni aperte dall'interno RELATED/ESTABLISHED ..." iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # echo "Accetto risposte DNS " iptables -t filter -A INPUT -p udp -s $DNS --sport 53 -j ACCEPT iptables -t filter -A INPUT -p udp -s $DNS --sport 53 -j ACCEPT # echo "Accetto ICMP type 0,3,11 ..." iptables -t filter -A INPUT -p icmp --icmp-type 0 -j ACCEPT iptables -t filter -A INPUT -p icmp --icmp-type 3 -j ACCEPT iptables -t filter -A INPUT -p icmp --icmp-type 11 -j ACCEPT iptables -t filter -A INPUT -p icmp --icmp-type 15 -j ACCEPT iptables -t filter -A INPUT -p icmp --icmp-type 16 -j ACCEPT # echo "Done." ****** mentre se, come dici, conosci la documentazione indicata da LukenShiro hai già tutti gli script, belli e pronti, da copiaincollare bye miKe - -- ________________________________________ Slackware 8.1 GNU/Linux 2.4.20 @ hp Xe3 R.U.#219755 -- S.R.U.#705 -- R.M.#110932 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE9/6D0F/9fksDJ4y0RAmjHAJ4hbxgQma1G3kJ4Lo8nVOzIihyXUwCfYznV zglkw1OnB3zvIkom/SIKPpg= =f5cg -----END PGP SIGNATURE-----