PDA

Visualizza la versione completa : device filter


indre
27-01-2004, 19:09
ciao a tutti...
che cosa è di preciso un device filter?
lo tovo sugli zyxel 650r..
inoltre ho provato a vietare il ping interno verso il router...
il tutto funziona..
ovvero non riesco a pingarlo.. ma pingo gli host..

il problema è che adesso non pingo, non iesco a fare telnet e nemmeno entrare via web sul router..

deve resettare..

consigli?

grazie ciao

dAbOTZ
27-01-2004, 19:26
I device filter bloccano i frame a livello 2 e quindi sull'interfaccia senza andare a scomodare i protocolli, mentre i protocol filter permettono il passaggio dei frame ma filtrano i dati in base al protocollo scelto.

Che filtro hai settato per impedire il ping al router dall'interno? L'ideale e` impostare un filtro per bloccare gli icmp in toto (protocol 1) e bindarlo alla ethernet.

Attenzione: devi settarlo in modo che lasci passare tutto tranne gli icmp, quindi nel filter set dovrai avere un action matched-drop, action not matched-forward riguardo al protocol 1, volendo discriminando fra gli indirizzi sorgente.

Sicuramente hai l'accesso bloccato perche` gli hai detto si` di bloccare gli icmp ma non di lasciar passare gli altri.

indre
27-01-2004, 19:36
action not matched-forward

caxxo ecco dove sbagliavo!!
io mettevo check next rules...
ma se di altre regole non ne ho che fa? droppa il pacchetto?

credevo che i device filter erano legati ai filtri generic e non TCP/IP..

quindi prima credo il filtro nel menu 21
edito le regole (da 1 a 6) e poi vado li e applico il filtro in uscita o entrata sulle ethernet.. è corretto?

ma se io creo e attivo dei filtri se non li applico all'interfaccia vanno lo stesso?

se volessi mettere il filtro sulla Wan? dove vado in remote node setup??

grazie mille mod..

dAbOTZ
27-01-2004, 19:50
Originariamente inviato da indre
caxxo ecco dove sbagliavo!!
io mettevo check next rules...
ma se di altre regole non ne ho che fa? droppa il pacchetto?


Esatto



credevo che i device filter erano legati ai filtri generic e non TCP/IP..


Ma infatti, per generic si intendono proprio i device filter.. se ci fai caso, nel momento in cui scegli generic e dai invio, il menu viene cambiato e puoi inserire la struttura del frame (e qui diventa complicato, perche` dovresti prima sniffare per capire cosa bloccare).



quindi prima credo il filtro nel menu 21
edito le regole (da 1 a 6) e poi vado li e applico il filtro in uscita o entrata sulle ethernet.. è corretto?


Oh yes, nel tuo caso per bloccare i ping al router devi creare un filtro icmp (procotol 1) e poi applicarlo in entrata alla ethernet. Ricorda di lasciar passare gli altri pacchetti!



ma se io creo e attivo dei filtri se non li applico all'interfaccia vanno lo stesso?


No, la sola creazione non basta, devi anche applicarli a un'interfaccia dai menu 3 o 11



se volessi mettere il filtro sulla Wan? dove vado in remote node setup??

grazie mille mod..

Esatto. Menu 3.1 per la ethernet, menu 11.5 per la wan

indre
27-01-2004, 20:07
grazie...dott. zyxel--
ciao

indre
29-01-2004, 13:47
ciao..
rieccomi..
ancora sui filtri del ping e http

ho un problema..
io voglio evitare avendo creato degli ip aliases di usare il ping e di poter andare via http sul web server interno ad un particolare host interno..

ora ho creato ip alias e funziona..
ho creato i filtri ma ad esempio per il ping (ip protocol 1) quando inserisco l'indirizzo di sorgente mi dice una volta che confermo (invalid source address) ???

come mai..??

nessuno riesca a postarmi una conf funzionante per zyxel per vietare il ping all'interno della lan da un host particolare verso un altro (anche http)...



i filtri che appiccio sul menu 11 riguardano le connessioni che dall'esterno arrivano verso la mia lan giusto??

grazie a tutti..

sto facendo delle prove e alcune cose mi sono ancora un po oscure di questi router zxyel..

(nello specifico è il zyari b-1000 con 4 porte eth)

ciao

dAbOTZ
29-01-2004, 15:14
Originariamente inviato da indre
ora ho creato ip alias e funziona..
ho creato i filtri ma ad esempio per il ping (ip protocol 1) quando inserisco l'indirizzo di sorgente mi dice una volta che confermo (invalid source address) ???



Nella config dei filtri sei sicuro di aver messo la stessa maschera per sorgente e destinatario? E prima, quando hai creato gli alias, hai messo gli indirizzi su una subnet diversa da quella primaria?



i filtri che appiccio sul menu 11 riguardano le connessioni che dall'esterno arrivano verso la mia lan giusto??


No. I filtri del menu 11 riguardano le connessioni della wan, che poi i filtri vengano messi in entrata o in uscita lo devi decidere tu. Idem per il menu 3 che riguarda l'ethernet

Menu 3

lan input filter set: pacchetti in arrivo alla lan del router
lan output filter set: pacchetti in uscita dalla lan del router

Menu 11

wan input filter set: pacchetti in arrivo alla wan del router
wan output filter set: pacchetti in uscita dalla wan del router

Ad esempio, per controllare i pacchetti che dall'esterno arrivano verso la wan puoi mettere un filtro sul wan input oppure sul lan output.. cosa che se ci pensi su non e` esattamente lo stesso: nel primo caso i pacchetti vengono controllati prima dell'ingresso al router.

Se invece vuoi controllare i pacchetti che dalla lan vanno all'esterno puoi mettere un filtro sul lan input oppure sul wan output.. idem con patate per la differenza.

indre
29-01-2004, 17:26
Nella config dei filtri sei sicuro di aver messo la stessa maschera per sorgente e destinatario? E prima, quando hai creato gli alias, hai messo gli indirizzi su una subnet diversa da quella primaria?

le subnet sono corrette..
come indirizzi ho
1 pc 192.168.1.10/24
2 pc 192.168.2.10/24

il router ha ip 192.168.1.1 e come alias ip 192.168.2.1

ora ho creato il filtro che vieta di andare sul web server dal pc 192.168.1.10 al 192.168.2.20.. io l'ho applicata in lan input ok?

dopo lo testo..

ma per il ping.. ho messo protocollo 1 ma come porta lascio bianco o metto 0..??

tu dici che mi dice ip non validi perchè hanno la stessa subnet???

ma mi spieghi visto che li mangi i router zyxel a che cosa serve il menu 11
Remote node setup???
non lo capisco..

quindi i filtri tu li metti sul menu 4 e non nell'11??

ciao

dAbOTZ
29-01-2004, 17:55
Originariamente inviato da indre
le subnet sono corrette..
come indirizzi ho
1 pc 192.168.1.10/24
2 pc 192.168.2.10/24

il router ha ip 192.168.1.1 e come alias ip 192.168.2.1

ora ho creato il filtro che vieta di andare sul web server dal pc 192.168.1.10 al 192.168.2.20.. io l'ho applicata in lan input ok?

dopo lo testo..



In lan input sul 192.168.2.20 e come sorgente 192.168.1.10, yes




ma per il ping.. ho messo protocollo 1 ma come porta lascio bianco o metto 0..??


Non cambia niente, l'importante e` lasciare su none il port compare



tu dici che mi dice ip non validi perchè hanno la stessa subnet???


Attimo. Una cosa e` la subnet e l'altra e` la subnet mask. La subnet dev'essere diversa, nel senso che non puoi filtrare sotto la stessa subnet (quindi e` giusto come hai fatto tu creando una subnet 192.168.1.0 e una 192.168.2.0 configurate con gli alias), ma nella config dei filtri la subnet mask dev'essere identica tra sorgente e destinatario, se no non sa che pesci pigliare.. pero` da quel che ho visto hai fatto tutto correttamente e non mi spiego quell'errore.



ma mi spieghi visto che li mangi i router zyxel a che cosa serve il menu 11
Remote node setup???
non lo capisco..


Io mangio solo cisco, gli zyxel mi stanno sinceramente sulle palle. Comunque il menu 11 serve a configurare, per quanto riguarda i filter set, i filtri sul lato wan.



quindi i filtri tu li metti sul menu 4 e non nell'11??

ciao

Scusami, ho scritto male.. quel 4 era un 11. Vado a editare.

indre
29-01-2004, 20:03
ciao ..
o sommo...

ma mi sai dire che vuol dire il menu ip policing routing??

che serve di preciso?

e il remote node stup?
dove inserisco l'ip fisso del router (WAN)??

grazie mille..
ciao

Loading