Transparent Firewall - parte 2 - Configurazione del bridge

di goblin
Logo OpenBSD
Image credits: by By Theo de Raadt, and other members or developers of the OpenBSD group

Parte seconda - dopo aver installato OpenBSD andremo ad impostare le schede di rete in modalità bridge e ad attivare un firewall sul traffico “passante”.

situazione: xl0 interfaccia collegata al mondo esterno (al router) rl0 interfaccia collegata alla nostra rete lan (ad uno switch) fxp0 interfaccia di gestione (può essere attaccata con un cross ad un pc oppure alla rete interna con un indirizzo ip appropriato)

Impostiamo il bridge:

ifconfig xl0 delete

echo ‘up’ > /etc/hostname.xl0

ifconfig rl0 delete

echo ‘up’ > /etc/hostname.rl0

Le schede sono impostate come “up” ma senza alcun indirizzo associato.

Creiamo il file di configurazione della nuova interfaccia bridge

echo ‘add xl0 add rl0 up’ > /etc/bridgename.bridge0

Riavviamo e verifichiamo che sia attiva l’interfaccia con:

ifconfig -a

che deve restituire qualcosa del tipo

bridge0: flags=41 <UP,RUNNING> mtu 1500

Abilitare il firewall PF - modificare il file /etc/rc.conf perchè la riga

pf=YES

sia decommentata (togliere eventuale “#” all’inizio della riga).

Modifichiamo il file /etc/pf.conf perchè sia così:

ext_if = “xl0” # verso il router int_if = “rl0” # alla LAN interna pass in log all keep state pass out log all keep state

così passerà tutto ma almeno potremo vedere il traffico effettuato.

Facciamo leggere il file con le regole:

pfctl -f /etc/pf.conf

e verifichiamo che le regole siano state caricate correttamente.

pfctl -sr

Deve dare:

pass in log all flags S/SA keep state pass out log all flags S/SA keep state

Ora controlliamo che l’interfaccia di log sia attiva:

/sbin/ifconfig pflog0

Deve rispondere:

pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33224

Ora lanciamo l’utility tcpdump per monitorare il traffico di rete:

tcpdump -n -e -ttt -i pflog0

e vedremo il dettaglio dei pacchetti che entrano dalla interfaccia esterna verso la rete interna e viceversa escono dalla interna per internet

Se l’output è troppo lungo possiamo visualizzare solo parte del traffico ad esempio quello da e per l’host 192.168.1.90

tcpdump -n -e -ttt -i pflog0 ip host 192.168.1.90

maggiori info qui

Supponiamo ora di voler bloccare il traffico http verso il server che ha indirizzo 193.204.255.20 Modifichiamo il file /etc/pc.conf in tale maniera

ext_if = “xl0” # interfaccia esterna (verso il router) int_if = “rl0” # interfaccia verso la LAN interna block in log on $ext_if proto tcp from 193.204.255.20 to any pass out log on $int_if all keep state

e navighiamo sul sito <www.unibg.it> dal pc che ha ip 192.168.1.90

Vedremo che il log ottenuto dal comando:

tcpdump -p -e -ttt -i pflog0 ip host 192.168.1.90

Sarà:

rule 0/(match) block in on xl0: 193.204.255.20.80 > 192.168.1.90

che significa che abbiamo bloccato il traffico verso questo sito (che ha indirizzo ip 193.204.255.20).

Se invece volete bloccare tutto il traffico del protocollo tcp da questa macchina verso l’esterno potete usare questa regola:

block in log on $ext_if proto tcp from any to 192.168.1.90

provate a navigare in internet dal suddetto pc e vedrete nei log i tentativi di connessione bloccati verso la porta 80 dei server web richiesti.

A dire il vero la prassi per costruire un firewall sicuro e esattamente l’opposto e cioè di default bloccare tutto e poi aprire solo il necessario - come nel seguente script contenuto di /etc/pf.conf

ext_if=“xl0” int_if=“rl0” block in log on $ext_if all block out log on $int_if all

Questo blocca tutto ma veramente tutto… un po’ troppo imho. Apriamo ora tutte le connessioni da e verso il nostro pc client che abbiamo usato per fare le prove:

ext_if=“xl0” int_if=“rl0” pass in log from 10.255.10.187 to any pass out log from 10.255.10.187 to any block in log on $ext_if all block out log on $int_if all

Compito a casa: trovare la giusta via di mezzo (aiutati anche dalla visualizzazione dei log dei pacchetti permessi / bloccati)

Marco - Goblin - Morosini

Edit me on Gitea