Dovevo limitare la banda globale (quella globale non quella del singolo file scaricato), del server ftp.

Soluzione al problema due comandi linux: tc e iptables.

Lo script che ci permetterà di fare tutto è questo:

# Change this to your link bandwidth # (for [...]]]> Questa sera ho avuto l’esigenza di fare un po’ di traffic shaping casalingo per un piccolo progetto.

Dovevo limitare la banda globale (quella globale non quella del singolo file scaricato), del server ftp.

Soluzione al problema due comandi linux: tc e iptables.

Lo script che ci permetterà di fare tutto è questo:

# Change this to your link bandwidth
# (for cable modem, DSL links, etc. put the maximal bandwidth you can
# get, not the speed of a local Ethernet link)
REAL_BW='20Mbit'

# Change this to the bandwidth you want to allocate to FTP.
# We're talking about megabits, not megabytes, so 80Kbit is
# 10 Kilobytes/s
FTP_BW='600Kbit'

# Change this to your physical network device (or 'ppp0')
NIC='eth0'

# Change this to the ports you assigned for passive FTP
FTP_PORT_LOW="10000"
FTP_PORT_HIGH="20000"

tc qdisc add dev "$NIC" root handle 1: cbq \
bandwidth "$REAL_BW" avpkt 1000

tc class add dev "$NIC" parent 1: classid 1:1 cbq bandwidth "$REAL_BW" \
rate "$REAL_BW" maxburst 5 avpkt 1000

tc class add dev "$NIC" parent 1:1 classid 1:10 cbq \
bandwidth "$REAL_BW" rate "$FTP_BW" maxburst 5 avpkt 1000 bounded

tc qdisc add dev "$NIC" parent 1:10 sfq quantum 1514b

tc filter add dev "$NIC" parent 1: protocol ip handle 1 fw flowid 1:10

iptables -t mangle -A OUTPUT -p tcp --sport 20:21 -j MARK --set-mark 1

iptables -t mangle -A OUTPUT -p tcp \
--sport "$FTP_PORT_LOW":"$FTP_PORT_HIGH" -j MARK --set-mark 1

Nel mio caso specifico, ho forzato il mio server ftp (pureftpd) ad utilizzare come porte in uscita un range che va dalla porta 10000 alla 20000 (questo lo si fa lanciando pureftpd con il parametro -p 10000:20000 oppure modificando direttamente il file di configurazione),  e su questo range ho effettuato lo shaping di banda, bloccandola di fatto a 600Kbit/s, circa 80KByte/s.

Evito di commentare lo script in quanto è già stato fatto in inglese.

Tratto da: http://download.pureftpd.org/pub/pure-ftpd/doc/FAQ

Saluti

Matteo

- policy di default: drop di tutti i [...]]]> Questa guida non vuole essere il solito howto dove si spiega, che in iptables, ci sono le catene, le policy di default, quali sono e come funzionano, ma vuole essere una versione più pratica di un howto, e spiegare come configurare un firewall per linux con le seguenti caratteristiche:

- policy di default: drop di tutti i pacchetti

- permettere solo ai servizi che ci interessano di essere accessibili all’esterno

- permettere certi servizi accessibili solo dalla LAN

caso tipico di confiurazione di un firewall in ambito aziendale.

Per prima cosa impostiamo le policy di default in DROP, in modo che qualunque cosa venga scartata se non permessa dalle nostre regole successive

# Imposto le policy di default
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

ora tutti i pacchetti in arrivo verranno droppati (ovviamente se lavorate in remoto non lanciate questi comandi o non sarete più in grado di accedere alla shell Ndr.).

Ora abilitamo un paio di servizi utili per un normalissimo server

# Abilito i ping alla macchina
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

In questo modo abilitamo la macchina a rispondere ai ping da qualunque macchina sulla rete (ovviamente se non volete basta non inserire la regola, ma secondo me è buona norma farlo).

# Imposto regole generiche sulle connessioni in ingresso
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Questa è una regola generica sullo stato delle connessioni.

Ipotizziamo ora che sulla nostra macchina girino i seguenti 3 servizi:

- http (porta 80)

- https (porta 443)

- ssh (è una macchina remota e vogliamo potervi accedere ovviamente)

non ci resta altro che usare le seguenti regole

# Accetto le connessioni del webserver
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Accetto connessioni webserver in https
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Accetto le connessioni ssh in ingresso
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Ipotizziamo ora di avere un server mysql, che ovviamente in locale grazie alle prime regole è accessibile, ma vogliamo che sia accessibile anche dalla lan, la soluzione è

# Accetto le connessioni in ingresso di mysql
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3306 -j ACCEPT

consentiamo così l’accesso diretto a mysql dai client della nostra LAN.

Tutto quanto visto sino ad ora è velido per le connessioni in ingresso, per le connessioni in uscita la faccenda è molto simile, solamente che al posto di -A INPUT dovremo mettere -A OUTPUT, un esempio tipico è il seguente

# Abilito i ping in uscita
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

# Imposto regole generiche sulle connessioni in uscita
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# permetto di inviare email via smtp solo dal localhost
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Webserver esterni
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

# webserver esterni https su 443 e 8443
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8443 -j ACCEPT

# ftp in uscita (serve per gli aggiornamenti del sistema)
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

# abilito l'utilizzo del whois
iptables -A OUTPUT -p tcp --dport 43 -j ACCEPT
iptables -A OUTPUT -p udp --dport 43 -j ACCEPT

# nameserver in uscita per gli slave
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

# ntp in uscita per aggiornare l'ora
iptables -A OUTPUT -p tcp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT

# abilito mysql in uscito per il db di eastitaly.com
iptables -A OUTPUT -p tcp -d 192.168.0.2 --dport 3306 -j ACCEPT

Infine chiudiamo il tutto con

#####
# Tutti gli altri pacchetti (reject+reset)
###
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset

In modo che qualunque cosa sfugga se abbiamo fatto qualche errore venga sicuramente buttata.

Mettiamo il tutto in un bel file (firewall.sh con opportuni permessi) e abbiamo il nostro firewall!

(Questo articolo è stato pubblicato anche su tuxblog)

Nello specifico per ragioni di comodità e facilità d’uso (purtroppo non sono l’unico a utilizzarei server e devo badare anche a questo aspetto), utilizzo firestarter.

Si tratta di un firewall molto semplice [...]]]> Come al solito le problematiche al lavoro sono le più disparate, oggi mi sono dovuto occupare del tuning di un firewall che utilizzo sul lavoro.

Nello specifico per ragioni di comodità e facilità d’uso (purtroppo non sono l’unico a utilizzarei server e devo badare anche a questo aspetto), utilizzo firestarter.

Si tratta di un firewall molto semplice da utilizzare anche ai “non addetti ai lavori“, in quanto non si tratta altro che di un semplice front end grafico per iptables, assai più ostico da utilizzare per i principianti.

Questo breve documento non si occuperà pertanto di configurare il firewall (discretamene semplice anche senza documentazione) ma semplicemente spiegherà come apportare direttamente delle modifiche tramite iptables che sono escluse dalle casistiche previste dal frontend.

Il firewall l’ho configurato in un modo molto semplice, ho messo come policy di default tutto in drop, ed ho aggiunto le eccezioni per i servizi che mi interessavano.

Pertanto la mia situazione di partenza era che qualunque pacchetto inviato da e verso la macchina veniva scartato ad eccezione di: webserver, dns e posta.

Ora il problema che mi si era posto era il seguente: avevo dei simpatici “amici” che non avevano nulla da fare e ogni tanto senza preavviso iniziavano a dossare una macchina, e l’unica soluzione possibile senza dover intervenire sulla dorsale (di cui ovviamente non ho il minimo controllo) era di fare in modo che venissero scartate le connessioni di quella specifica rete.

La soluzione è stata molto semplice, con firestarter basta editare il file

[root@localhost ~]# nano /etc/firestarter/user-pre

e a questo punto aggiungere i comandi di iptables che ci interessavano, ad esempio

iptables -A INPUT -d 195.54.0.0/20 -j DROP
iptables -A INPUT -s 195.54.0.0/20 -j DROP
iptables -A OUTPUT -d 195.54.0.0/20 -j DROP
iptables -A OUTPUT -s 195.54.0.0/20 -j DROP
iptables -A FORWARD -d 195.54.0.0/20 -j DROP
iptables -A FORWARD -s 195.54.0.0/20 -j DROP

In tal modo vengono droppate tutte le connessioni che entrano, escono o solamente transitano su questa classe di ip.

Una volta aggiunte le righe che ci interessano basta dare un semplice

[root@localhost ~]# /etc/init.d/firestarter restart

ed ecco fatto, il nostro piccolo firewall personalizzato

Ovviamente con questo metodo si possono creare tutte le policy che ci interessano tramite i comandi di iptables.