Firewall che consenta in uscita il solo traffico "web&q

fcaponi · mar 25 ott , 2005 11:07 am

Ciao a tutti, sto cercando di impostare correttamente il firewall del CISCO 827 in modo da limitare al necessario le operazioni effettuabili dai client.

Mi chiedevo, è possibile limitare in qualche modo il traffico in uscita in modo che sia possibile esclusivamente navigare?

Sembrerà stupida la domanda, ma in realtà non intendo sapere se è possibile consentire solo la porta 80, ma vorrei un qualche tipo di regola che consente solo il traffico con protocollo HTTP (indipendentemente dalla porta utilizzata).

Ho provato a leggere la documentazione delle regole [code]ip inspect[/code], ma sinceramente non ho capito molto, avrei bisogno di qualche esempio pratico!!

Renato.Efrati · mar 25 ott , 2005 2:11 pm

fallo con un access-list no?

TheIrish · mar 25 ott , 2005 2:23 pm

fallo con un access-list no?

Sì e no... ni. Nel senso che se il suo scopo è negare e abilitare protocolli, con le ACL ti fai fesco. Nel senso che nessuno vieta ad un ftp server di ascoltare sulla porta 80, come è proibitivo cercare di bloccare un p2p tramite le ACL.
Diciamo che Ispa ha nel contempo ragione, nel senso che con le ACL puoi fare gran parte del lavoro in quanto difficilmente i servizi usano porte diverse da quelle di default. Il problema sorge con protocolli che si adattano come, appunto i p2p... ma la questione p2p è di difficile realizzazione con un router.
Il mio consiglio quindi è: fai il lavoro con le ACL. Nonn verrà ESATTAMENTE quello che chiedi, ma si approssimerà molto. Nel caso in cui il risultato non dovesse piacerti, ne riparliamo.

andrewp · mar 25 ott , 2005 5:19 pm

Penso di aver capito quello che intendi, ma una funzionalità così avanzata come quella di controllare l'header dei pacchetti, per verificare che siano effettivamente parte del traffico HTTP, è appannaggio di firewall di classe alta come i checkpoint...

fcaponi · mar 25 ott , 2005 6:10 pm

Avete centrato il problema: P2P.

Il mio problema è che vorrei limitare al "lecito" l'utilizzo di internet, però se consento solo la porta 80, probabilmente procurerei un disservizio perchè diversi siti utilizzano porte non standard, spesso proprio quando pubblicano applcativi interni.

Il checkpoint di cui mi parlate è un firewall hardware? Posso realizzare qualcosa di simile tramite software, (magari open source) ?

Renato.Efrati · mar 25 ott , 2005 6:12 pm

azz nn avevo letto bhe o ti vedi quali porte sono utilizzate dai vari siti e le permetti oppure t vedi quali porte son utilizzate dai vari p2p e le neghi

fcaponi · mar 25 ott , 2005 6:20 pm

Per la soluzione completa, intendo con il checkpoint o qualche soluzione software equivalente mi sai dare qualche dritta?

TheIrish · mar 25 ott , 2005 6:28 pm

Checkpoint non penso faccia al caso tuo, almeno specificamente al tuo problema.
Per la questione p2p, le ACL funzionano parzialmente. Alcuni p2p vengono falciati, altri funzionano solo in parte perché quei maledetti si adattano a "ciò che trovano".
In effetti, per avere una soluzione definitiva, bisogna cadere su qualcosa di particolare. Esiste un progetto per linux che sembra riconoscere con una precisione considerevole dei footprint nei pacchetti della magior parte dei p2p. Il progetto si trova su http://ipp2p.org/
Costruire un gateway con questo "coso" dovrebbe risolvere il problema

Firewall che consenta in uscita il solo traffico "web&q

Login • Iscriviti