PDA

Visualizza la versione completa : Dubbi firewall


unomichisiada
08-07-2004, 14:00
Ai moderatori:anche se il programma che sto scrivendo è in c/C++ mi rendo conto che le domande sotto non riguardano strettamente la programmazione in c/c++ ma la sezione reti LAN e wireless non mi sembrava adatta in quanto non riguaradante pr nulla la programmazione,quindi ho postato quì.Non so se non è corretto eventualmente spostate la discussione.

Salve ho i seguenti problemi e dubbi:sto scrivendo un modestissimo firewall che analizza gli header dei pacchetti IP e in base a delle regole che contemplano IP sorgente,IP destinazione,Maschera di sottorete sorgente,Maschera di sottorete desinazione,porta sorgente,porta destinazione,Numero di protocollo blocca o passa i vari pacchetti.Ad esempio come politica predefinita tutti i pacchetti vengono bloccati eccetto quelli che corrispondono ad almeno una delle regole impostate.


1)supponendo di voler bloccare tutto tranne il traffico web tra me e ad esempio www.html.it (212.110.13.99) ho pensato,devo impostare una regola con i seguenti parametri sorgente=mio indirizzo dinamico, dest=212.110.13.99,maschere sorg e dest = 255.255.255.255,porta sorgente e porta destinazione entrambe uguali a 80 (http),protocollo = 6 (TCP), ed un'altra esattamente simmetrica per il traffico in senso opposto.Il problema è che analizzando i pacchetti scambiati tra me e html.it quando mi ci collego col browser ho notato che la connessione viene stabilita non sulle porte sorg=80 e dest=80 e viceversa ma sulle porte sorg=(una porta alta che cambia ogni volta) e dest=80 e viceversa per l'altro senso di comunicazione,mentre io sapevo che la connessione era sulla porta 80 sia sul destinatario che sul sorgete per l'http.Quindi come faccio a sapere a priori su quale porta verrà mappata nel mio pc la connessione http?Se entrambe le porte non corrispondono il pacchetto viene scartato anche quando nei miei piani sarebbe dovuto essere passato,per come ho scritto la funzione di filtraggio.Eventualmente potrei postare la funzione di filtraggio se qualcuno ha esperienza di queste cose e vuole darmi dei suggerimenti.

2)Il secondo dubbio riguarda le maschere di sottorete.Premetto che io so cosa sono le classi di indirizzi IP e che le maschere consentono ad un certo host in una lan di sapere se un pacchetto proviene da un'host nella sua stessa rete o sottorete oppure no mettendo in and l'indirizzo di provenienza del pacchetto ed il suo con la rispettiva maschera e poi confrontando i risultati.
Il problema è come le posso utilizzarle nel mio firewall?Per una connessione ad internet il problema non si pone perchè esse sono sempre 255.255.255.255 ma se sto filtrando il traffico tra il mio pc ed un'altro nella stessa lan?Un caso pratico:
IP privato mio pc=192.168.0.1
IP privato altro PC nella stessa lan=192.168.0.2
Maschera=255.255.255.0 per entrambi
se nel cotrollare un pacchetto metto in and i due indirizzi con le rispettive maschere e poi confronto i risultati ottengo l'indirizzo della rete 192.168.0.0 e quindi di scartare tutti i pacchetti anche quelli non diretti a me ma soli in transito o quelli in broadcast,non lo so è il modo corretto di utilizzo in un firewall?

3)un altro dubbio ancora riguarda l'indirizzo di loopback 127.0.0.1.Quando imposto le regole del firewall se voglio che funzioni devo prima ricavarmi con il comando ipconfig del dos il mio
indirizzo ip dinamico attuale (il che presuppone una connessione dialup attiva),a me invece piacerebbe poter scrivere 127.0.0.1 nella regola o (0.0.0.0) per specificare me stesso indipendentemente dall'indirizzo dinamico attuale.Ho notato che il firewall di sistema di winxp permette di farlo,cioè per specificare se stessi basta scivere 127.0.0.1 e al resto pensa lui.Come potrei fare ad implementare una funzione del genere?

Thank you very much.

unomichisiada
08-07-2004, 22:57
Up :stordita:

unomichisiada
10-07-2004, 12:43
Ai Moderatori:

Questa discussione non sembra riscuotere grande successo in questa sezione,forse era meglio postare nella sezione relativa alla sicurezza in rete,me la spostate li per favore?Oppure faccio una copia li?Non so ditemi voi

Loading