Konfigurisanje m0n0Wall-a

[ZeleniZub]

Evo, potisasmo ugovore sa SBB, pa cu za nekih mesec dana na kablovski net.

Ideja je da se uzme jedan FLAT, pa iz kablovskog modema u jednu mreznu od:
P1, 133Mhz, 32Ram, CD, Flopi, dve mrezne (koju sam vec skrpio i na nju stavio m0n0Wall), iz druge mrezne na HUB na koji se dalje kacimo: ja, burazer i komsija.

Sve je eto spremno, pa dok cekam, nek neko pomogne oko konfiguracije m0n0wall-a, hvala.

 

[Filo]

http://m0n0.ch/wall/docbook/
http://m0n0.ch/wall/quickstart/
da prelistas dok preciznije ne objasnis suta ti ustvari treba

 

[Miroslav]

meni nije htelo na radi na sbb-u sa njihovom adresom iz privatnog opsega... windows rutiranje je elegantno sreilo stvar ali monowall jednostavno nije hteo ni da cuje...

 

[Dorry]

Offtopic: Sta je to monowall???

 

[violinista]

m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).
m0n0wall is based on a bare-bones version of FreeBSD, along with a web server, PHP and a few other utilities. The entire system configuration is stored in one single XML text file to keep things transparent.
m0n0wall is probably the first UNIX system that has its boot-time configuration done with PHP, rather than the usual shell scripts, and that has the entire system configuration stored in XML format.

http://m0n0.ch/wall/

Google je čudo...

 

[S_Kid]

I m0n0wall je isto cudo, pre godinu dana sam ga stavio na poprecnu i nisam ga od tada ni pogledao...

 

[ZeleniZub]

Evo doneli mi modem (posle dva meseca, ali to je super posle onog sto procitah na forumu o iskustvu ljudi sa SBB-om)

Lik sto mi je instalirao modem pojma nema (krimpovanje kablova radi honorano, inace je ekonomista),
ipak USPEO sam da poteram m0n0wall da radi.

Miroslav:

meni nije htelo na radi na sbb-u sa njihovom adresom iz privatnog opsega... windows rutiranje je elegantno sreilo stvar ali monowall jednostavno nije hteo ni da cuje...

a evo i kako:

Uputstvo za setovanje m0n0wall-a na SBB-u

ulogovati se za konfigurisanje (admin, mono) 192.168.1.1

GENERAL SETUP:
upisati vrednosti za DNS servers, konkretno:
u prvu kucicu: 82.117.194.2
u drugu kucicu: 82.117.194.3
SAVE

WAN:
Type= Static
IP address= 10.1.xxx.xxx / 16 (dato od SBBa)
(islo je / 16 zato sto je SBB dao Subnet Mask=255.255.0.0)
(da je bilo dato 255.255.255.0, islo bi /24)
Gateway= 10.x.0.x (dato od SBBa)
Decekiraj "Block private networks" jer je SBB dao adresu bas iz privatnog opsega
SAVE

LAN:
IpAddress= 192.168.1.1/16, ako vec nije
SAVE, (mislim da sad ide restart servera)

RULES: -sad cu pustiti sve, dok ne "provalim" sta jedino treba pustiti
Action: pass
Interface: WAN
Protocol: TCP
Source: any, from:any, to:any
Destination: any, from:any, to: any
Description: Pusti sve
SAVE

----------------------------
Podesavanje klijentskih masina:

W98:
IpAddress= 192.168.1.2 itd
SubnetMask= 255.255.0.0 (ista kao na serveru koju je dao SBB)
Gateway= 192.168.1.1
DNS - Enable DNS
Host= m0n0wall
Domen= local
82.117.194.2
82.117.194.3

XP:
IpAddress= 192.168.1.2 itd
SubnetMask= 255.255.0.0 (ista kao na serveru koju je dao SBB)
Gateway= 192.168.1.1
Use following DNS:
82.117.194.2
82.117.194.3

Pitanje1: Kako pametnije konfigurisati RULES (a da mi i dalje rade Web i Ftp)?
Pitanje2: Zasto mi sada ne radi eMule (iako sam dodao RULE da pusti sve sa WAN-a)?

 

[salac]

Miroslavov problem sa monowall-om jeste bio u onome decekiranju privatnih adresa. po defaultu je zbog sigurnosti postavljeno blokiranje na wan interfejsu za 10.0.0.0/8, 172.16.0.0-172.16.31.255 i 192.168.0/24 adresne opsege; ovo rade mnoge router-based distribucije i 'ozbiljni' fajervolovi kao sto su Cisco (ukoliko se postavi firewall kroz cisco SDM) i Nokia IPSO (odnosno Checkpoint-ov Firewall NG).

ZeleniZube,
nisi morao da koristis 192.168.0.0/16 , tj 192.168.1.* i 255.255.0.0 vodeci se "subnet maskom dobijenom od SBB-a". Mozes da nabodes bilo sta osim opsega koji je zauzeo SBB za svoju kablovsku mrezu (dakle sve izvan 10.1.0.0/16), a sto potpada pod privatne adrese (bilo sta drugo unutar 10.0.0.0/8, 172.16.0.0-172.16.31.255 i 192.168.0/24).

Sto se tice firewall pravila, moraces malo da razmislis sta zelis da pustis a sta da blokiras; ukoliko bi recimo zeleo da pustis lokalne kompove da imaju web,ftp i mail, pravila su:

Source: 192.168.0.0/16 protocol:tcp port:80 destination:all actionass - web

Source: 192.168.0.0/16 protocol:tcp port:20 destination:all actionass - ftp control
Source: 192.168.0.0/16 protocol:tcp port:21 destination:all actionass- ftp data

Source: 192.168.0.0/16 protocol:udp port:53 destination: [dns server SBB-a] actionass - DNS upiti ka SBB-ovom DNS serveru
Source: 192.168.0.0/16 protocol:tcp port:53 destination: [dns server SBB-a] actionass - DNS upiti ka SBB-ovom DNS serveru

Source: 192.168.0.0/16 protocol:tcp port:25 destination:all actionass - smtp
Source: 192.168.0.0/16 protocol:tcp port:110 destination:all actionass - pop3

Source: 192.168.0.0/16 destination:all action:reject - sav ostali saobracaj se sece, mada bi defaultu ovo nije neophodno sve sto explicitno nije dozvoljeno bice zabranjeno

Ovim si pustio web, ftp, dns upite i mail (smtp/pop3) klijentima u LANu i zabranio sav ostali saobracaj.

To je najprostiji skup pravila (pisan iz glave i pri tome nikada nisam radio na monowallu, no svi *ix-based ruteri su slicni ) ali se jako cesto koristi. Ne zamerite ako se potkrala neka greska Za neka od naprednijih setovanja trebao bi da pogledas manual monowall-a (napr kako izvuci iz nat-a web/mail server koji treba da bude dostupan racunarima sa interneta, kako za to iskoristiti Destination itd.)

Emule i mene muci Ono sto znam glede njega je da radi po portovima 'oko' 3661, znaci neki edonkey serveri su na 3660, neki na 3661, ima ih na 3662, 3664...
E sad, ti si pustio kroz ruter sav TCP saobracaj, propusti i sav UDP pa probaj hoce li raditi (ili ne specificiraj protokole, vec propusti bukvalno sve).
Ako nece, onda se ovi portovi seku na SBB-ovom firewall-u i tu ne mozes nista. Meni se ovo desilo sa AbsolutOK-om (bio je blokiran port 3661), pa sam morao da cimam njihovu tehnicku podrsku da mi pootvaraju portove.

Poz.

 

[Miroslav]

ja sam pokusao sa iskljucivanjem block private networks opcije ali i dalje nije radilo... evo igrom slucaja, pokusacu sledece nedelje ali na drugoj masinu, pa mozda proradi...

 

[ZeleniZub]

Hvala na brzim odgovorima.

E sad, ti si pustio kroz ruter sav TCP saobracaj, propusti i sav UDP pa probaj hoce li raditi (ili ne specificiraj protokole, vec propusti bukvalno sve).

Pustio sam i UDP, ali od svih servera dobijam odgovor:
"Connection refused. Your IP is curently blacklisted."
??

Da li se slicni problemi javljaju i ako bi instalirao DC++ umesto eMule?

 

[Miroslav]

mislim da je problem sa sbb-om, posto sam citao da se mnogi korisnici na ovom forumu zale, naime kriv je nat, pa posto svi idu sa istim ip-em, ko zna sta ko radi po tim serverima, i verovatno zbog toga stave tu adresu u crnu listu

 

[ZeleniZub]

Pravila, pravila, ...

Hteo sam da pustim samo portove koje je predlozio Salac, pa reko':
Aj' prvo da disejblujem pravilo za pustanje svega, OK. Kad ono i dalje sve mi radi (iako sam ocekivao da ce po difoltu sve da blokira). Dobro.
Aj' onda da dodam pravilo koje ce da blokira sve - (slika u prilogu).
Dodam, kad ono i dalje sve mi radi, i web i ftp i mail i shareAZA i ...
Kako, zasto?

 

[Miroslav]

ako hoces da blokiras sve, prvo izbrisi ta pravila koja si kreirao pa kreirao sledeci:

WAN: protocol tcp, source any, port any, destination any, port any
ovo je da zabranis svima pritsup sa neta ka tvojoj mrezi. sledeci rule:

LAN: protocol any, source LAN, port any, destination any, port any
ovim zabranjujes izlaz svima van tvoje mreze na internet.

e sad, ako oces da im dozvolis da koriste web, unesi sledeci rule:

LAN: protocol tcp, source lan, port 80, destination any, port 80
ovim dozvoljavas koriscenje http servisa na portu 80, stim da moras voditi racuna o redosledu pravila, tj. pravila koja su pri vrhu su vaznija od onih pri dnu.

ja kuci drzim stvari jednostavnim, dozvolim ceo pristup, a zabranim portove 137-139, 445 i 135... tebi sa druge strane preporucujem, ukoliko hoces da blokiram p2p programe, da zabranis ceo izlaz, pa pojedinacno dozvolis http, https, ftp mozda i sta ti je sve volja

 

[salac]

Hmmm da....k'o sto miroslav kaze, pravila na vrhu se prva primenjuju, ako postoji match na nekom od pravila ona ispod ce biti ignorisana. Ti si u prvom pravilu dozvolio sav saobracaj, a u drugom si zabranio sve -> drugo pravilo nikada nece biti izvrseno.

poz.

 

[Miroslav]

ne, u slucaju monowalla prvo se primenjuje poslednje pravilo. u njegovom slucaju on je dozvolio sav odlazni i sav dolazni saobracaj. znaci prvo se primeni pravilo sve je zabranjeno ali sa izuzetkom porta 80 u mom primeru...

 

[ZeleniZub]

Ma pravilo za pustanje svega na WAN-u je bilo disejblovano.
Ipak, po Miroslavljevom savetu, evo kako sam zamislio,
ali sad mi nista ne radi.
(ovo pisem tako sto sam poslednje pravilo u dnu slike promenio na PASS da pustim sve sa LAN-a)

 

[salac]

Ajd ovako :
ZeleniZube tvoja prva slika :
1. Na WAN interfejsu si u prvom pravili sve dozvolio a u drugom sve zabranio, prvo pravilo je zasenceno (neaktivno) -> nista nece da prolazi kroz ruter ma kakva pravila uveo za LAN
2. na LAN-u si dozvolio sve, ali nema saobracaja jer si ga na WAN-u zabranio.

Slika iz tvog drugog posta i pravila deluju OK osim pravila za WAN. Ako su sva ova pravila aktivna bas kao na slici, ne moze da bude saobracaja jer nista ne moze da prodje kroz spoljni (WAN) interfejs . Ovo pravilo treba promeniti u permit. Naravno preporucujem ti da pre celokupnog permita ipak uneses jos nekoliko pravila kojima se zabranjuje pristup samom ruteru sa interneta. Znaci, iseces telnet, ftp, ssh, http, https, snmp ako ga ima, gde je source bilo sta, a destination javna adresa rutera (odnosno ip adresa wan interfejsa. Posledica ce biti da niko van lokalne mreze ne moze da se poveze na ruter ni na koji nacin. Takodje ukoliko ruter administriras remote iz ovih zabrana izvuces ip adresu sa koje se administracija radi. Dakle sada vise govorimo o zastiti samog rutera a ne direktno LAN-a iza njega (mada jedno zavisi od drugog).

poz.

 

[ZeleniZub]

Slika iz tvog drugog posta i pravila deluju OK osim pravila za WAN. Ako su sva ova pravila aktivna bas kao na slici, ne moze da bude saobracaja jer nista ne moze da prodje kroz spoljni (WAN) interfejs

A kako onda sve radi kad samo promenim na LAN interfejsu poslednje pravilo da umesto blokira ono pusti sve sa lokalne mreze?
Konkretno nemam potrebu za konfigurisanje rutera sa bilo koje lokacije osim sa lokalne mreze.
ps. Salac: Da li je za TCP dovoljan samo port 20, ili mora i 21 kao sto si napisao?

 

[salac]

Paketi verovatno prolaze kroz WAN jer si lokalnu mrezu NAT-ovao te ove pakete ruter tretira na drugaciji nacin ( pogledaj http://coombs.anu.edu.au/~avalon/ipfil-flow.html ). Ovo je pretpostavka, sta tacno firewall radi i kako su poredjana pravila moze se videti kroz konzolu tog freebsd-a kome m0n0wall sluzi kao web interfejs.
Inace IPFilter u osnovi radi sa input i output pravilima koja se mogu primeniti na neki ili na sve interfejse.

Ja bih ipak ostavio WAN sekciju praznom (tj eksplicitno propustio sav saobracaj) i prvo sve podesio u LAN-u (da ne dolazi do ovakvih zabuna). Kad je LAN gotov, onda bih na WANu sekao pristup samom ruteru sa interneta.

Port 20 i 21 su za ftp, postoje pasivni i aktivni ftp; pasivni koristi samo port 21 a aktivni i 20-icu (jednim se tada sibaju podaci a jednim kontrolni paketi).

 

[ZeleniZub]

Ja bih ipak ostavio WAN sekciju praznom (tj eksplicitno propustio sav saobracaj) i prvo sve podesio u LAN-u (da ne dolazi do ovakvih zabuna). Kad je LAN gotov, onda bih na WANu sekao pristup samom ruteru sa interneta.

Probao sam tako, (dozvolim sve na WAN-u) a pojedinacno dozvolim na LAN-u i nista mi ne radi, a sve radi kad poslednje pravilo u LAN-u za BLOCK ALL promenim u PASS.
Kad ovo uradom, komotno mogu da sve zabranim u WAN-u i da mi sve radi.
U samom m0n0wall-u nisam nista NAT-ovao
Onda rekoh, ajde da ostavim da pusta sve u LAN-u a da prethodno blokiram pojedinacno sta mi se ne svidja (vidi sliku)
ali i dalje mi rade blokirane stvari (ShareAZA i POP3).
Miroslav je rekao da se uslovi porede odozdo, ali nista se nije promenilo ni kada sam pravilo za blokiranje POP3 stavio na dno liste.
@ Miroslave: Daj okaci, tvoja setovanja.

 

[npero]

Ako nisi uspeo da resisi od sada problem, da ti pomognem malo, source port nije isti port kao destination najbolje ti je da stavis za source any port a ako hoces na primer da pustis HTTP stavis destination port 80, isto tako po slici zadanje pravilo ce da ti pusti sve tako da ona pravila koja pustaju http,https.... nemaju smisla samo ona sto zabranjuju, pavila se izvrsavaju redom tako da ako hoces nesto da pustis zadnje pravilo treba da zabranjuje sve a pravila ispred da pustaju odgovarajuce porotove ili ako hoces sve a samo nesto da zabranis zadnje pravilo treba da pusta sve kako je i na slici a predhodna da zabranjuju pojedine portove.


Pozdrav.....

 

[ZeleniZub]

Hvala na savetima.
Evo najzad pravila kojima sam uglavnom postigao ono sto sam zeleo (ipak je cudno da sve radi OK, obrizom da je na WAN-u sve blokirano).

 

[npero]

Koliko vidim po slici pravilo ostali mogu da koriste i sve ostalo ne samo MIRC ne znam da li si to zeleo, jer ti je zadnje pravilo da pustis sve, ako si zeleo samo da im pustis mirc prebao si da izmenis zadnje pravilo da blokira sve a ono predhodno da pusti samo tebe ce to i da odradi. Pravilo na WAN nije potrebno ali ni ne skodi,default su blokirane sve dolazne konekcije, jedino ako imas u LAN-u web server, FTP server ili vec nesto tako onda podesis da dozvoljava dolazne konekcije na WAN interfejsu i normalno U NAT podesis na koju masinu preusmerava sa tim da ima mogucnost da automatski krerira odgovarajuce pravilo.

Pozdrav...

 

[ZeleniZub]

Koliko vidim po slici pravilo ostali mogu da koriste i sve ostalo ne samo MIRC ne znam da li si to zeleo

Pa ne mogu portove od 3300-60000 (pretposlednje pravilo)

 

[salac]

Bas te briga, bitno je da radi

Nego, sto ne procitas upustsvo za monowall? Tamo su odgovori na sva tvoja pitanja

 

[ZeleniZub]

Nego, sto ne procitas upustsvo za monowall? Tamo su odgovori na sva tvoja pitanja

E ruznijeg uputstva nisam video (bez ijednog primera), a i pisano je na engleskom jeziku :d

 

[BigBoy]

Pocetnicki problem:

kompjuter 1
- bootovao monowall sa CD-a.
- dobio conzolu
- opcija 2, setovao IP na 192.168.0.1/24

kompjuter 2 (192.168.0.100;255.255.255.0:default gateway 192.168.0.1 ako ima veze)
- ukucao u browseru http://192.168.0.1/ (NECE)
- napravio po uputstvu za monowall VPN konekciju
- prilikom konektovanja ispise connection on 192.168.0.1
- posle par sekundi "server not respond...." ili nesto slicno
- kod sata ikonica sa mrezom ok.
- ne mogu da pingujem 192.168.0.1 (server timed out)

Negde gresim, GDE?

 

[npero]

Pocetnicki problem:

kompjuter 1
- bootovao monowall sa CD-a.
- dobio conzolu
- opcija 2, setovao IP na 192.168.0.1/24

Negde gresim, GDE?

Setovao si IP adresu ali nisi dodelio koja mrezna kartica je LAN a koja WAN, mislim da ti je to opcija 1 kada dodelis resetovace se i posle toga http://192.168.0.1 sa druge masine i radi .

Pozdrav....

 

[BigBoy]

LAN karticu sam upisao "rl0" (inace realtek mrezna) jer je tako automatski detektovao. Sta da upisem za WAN?

 

[npero]

LAN karticu sam upisao "rl0" (inace realtek mrezna) jer je tako automatski detektovao. Sta da upisem za WAN?

Za WAN upises oznaku adrese druge mrezne kartice gde planiras da dovedes internet, dalje ti trazi OPT adapter tu samo enter, treba da se resetuje i kada se podigne ispred menija ce ti pisati oznaka mrezne kartice kao to "rl0" i u nastavku njena MAC adresa. Kada to odradis mozes da se preko browsera logujes i uradis dalja podesavanja.

E da kada stisnes 1 u meniju pre dodele ti ispise detektovane mrezne adaptere, tako da je nabolje da upises njihove oznake rucno za WAN i LAN da ne radis to automaski.

Pozdrav....