IPFire 2.27 (x86_64) - Core Update 169

Aperto da umby, Mar 26, 2023, 09:07 AM

Discussione precedente - Discussione successiva

simone

Buongiorno;
dopo l'aggiornamento alla versione in oggetto non funzionano piu alcune regole del fw.
avevo impostato una regola che mi bloccasse tutto il traffico sulla porta 53 se un utente cambiava il DNS di ipfire con un altro a sua scelta.
funzionava, dopo un certo tempo la connessione veniva interrotta; adesso dopo l'aggiornamento non funziona più e i client possono tranquillamente cambiarsi i DNS e si continua a navigare.
Qualcuno sa dirmi se solo io ho questo problema e se si può risolvere?

grazie e buon fine settimana

umby

ciao Simone, sinceramente come hai esposto il problema non ho mai visto una cosa del genere
non saprei nemmeno come risolvere il problema magari prova dare maggiori dettagli su come è configurato il sistema ed i file di log per capire qualcosa di piu e poterti aiutare

simone

a tempo perso ho eseguito dei test con la versione 2.27 update 171.
praticamente ho creato un service group sulla porta UDP 53 nella sezione firewall group
poi ho creato una regola sul firewall dicendogli che, tutte le interfacce con destinazione la wan e che avessero come protocollo e pre-settato il service group fossero messe a drop.
questo in teoria secondo il mio ragionamento avrebbe dovuto evitare che un client qualsiasi connesso da qualsiasi interfaccia venisse bloccato se provava a bypassare i server DNS ipfire tramite la modifica delle impostazioni alla scheda di rete ma ciò invece non avviene e non capisco il perchè.

non so come allegare le immagini se qualcuno sa aiutarmi sulla tematica ne sarei grato
grazie mille

umby

ciao
sinceramente non ho capito bene cosa hai fatto, magari se dai maggiori info
per le immagini è una funzione che è stata disabilitata dall'amministratore, devi postarle su un sito esterno e mettere il link

simone

Ciao
sto cercando di eseguire questa guida:
www.ipfireitalia.it/index.php/content_pa...rni-al-firewall.html

con una modifica, nel service group non ho inserito i DNS su TLS e relativa porta e non ho eseguito nel firewall la regola numero 2 che riguarda l'instradamento verso i DNS di ipfire.
il mio scopo era quello di, appunto, fare in modo che si bloccassero la sostituzione dei DNS in modo che se un client eseguiva la modifica la connessione andasse in DROP ma ciò non mi accade.

non capisco se è un mio problema o cosa c'è che non va.
grazie mille

umby

#5
ciao
credo che il problema sia nel fatto che non hai inserito il DNS su TLS
ma in questo modo i dispositivi non potranno navigare su internet

simone

#6
ciao,

ok ma nella nuova versione il DNS su TLS dove lo trovo nella lista nel services grup della versione nuova 2.27 update 171 non lo trovo.
hai qualche indicazione in merito?
grazie

umby

#7
devi creare un gruppo inserendo le porte ed i protocolli che vuoi associare al gruppo da te creato
vedi immagine
arm1 60ba4" height="537 width="550"

simone

#8
ciao Umby

ho fatto un po di prove, con dispositivi Android 9 la regola funziona correttamente e se un client cambia i DNS viene bloccata la connessione mentre con i dispositivi con a bordo Android 12 la cosa non funziona e quindi sostituendo i DNS nei dispositivi i client navigano perfettamente.
non mi sembra una buona cosa.. e poi tra le altre cose ho provato ad applicare la stessa procedura a pc nella rete green e gli stessi anche se si cambia i DNS continuano a navigare tranquillamente bypassando la regola del fw e non capisco la motivazione.
se questo e un bug andrebbe risolto altrimenti non è possibile poter utlizzare almeno per me un fw che abbia queste vulnerabilità
il peggio è che non riesco a capire se è un mio problema oppure ci sia veramente un bug software
hai qualche info al riguardo?
grazie
Simone

umby

#9
ciao
sinceramente ho letto e riletto il tuo scritto ed ho eseguito dei test, quelli eseguiti da me sono solo sulla verde e con un pc, non ho modo di provare con un dispositivo mobile, ma nel mio caso funziona
per tanto credo che sia un problema legato alla tua installazione/configurazione
se ci fornisci maggiori dettagli vedo di poterti capire cosa c'è di sbagliato

simone

#10
ciao umby;

adesso a distanza di qualche giorno la configurazione funziona, ma è una cosa stranissima.
l'unica cosa che ho fatto è lasciare spenta la macchina (per qualche giorno) con ipfire a bordo e riavviarla oggi, adesso tutte le regole fanno il loro lavoro.
la sto testanto con l'ultima versione test rilasciata per ipfire.
per quanto riguarda la configurazione ho solo eseguito la procedura descritta nella tua guida che ho riportato nel post sopra : www.ipfireitalia.it/index.php/content_pa...rni-al-firewall.html
uniche differenze che ho impostato son che per ogni rete (blu e green) non possano bypassare il DNS Group
e non ho inserito la regola che comunque si venga reindirizzati sui server dns ipfire in caso di modifica, perchè al momento non mi interessa per eseguire i test su questo software.
rimango un po stranito sul fatto che, il funzionamento di tutto sia stato dovuto al solo fermo macchia di qualche giorno e il conseguente riavvio, sembra se così fosse che, il sistema, non applichi le regole in modalità online può essere?

grazie e ne approffitto per fare i miei più cari aguri di liete festività a te e a tutti gli utenti.

umby

#11
ciao Simone, sinceramente è strano quello che dici, come ti avevo detto le prove che avevo fatto al banco hanno dato esito positivo ed il sistema funzionava, permettimi di fare delle ipotesi a fronte di quello che dici, credo che dovevi riavviare il client il problema non è nel firewall ma da cercare sul pc o smartphone collegato, ma come detto è una mia ipotesi
colgo l'occasione di farti auguri di buone feste anche a te
Umby

grazie e ne approffitto per fare i miei più cari aguri di liete festività a te e a tutti gli utenti.

simone

#12
ciao umby;

grazie del supporto.
quando avrò modo di poter avere altri dispositivi client di test provo a verficare se si presenta di nuovo questa anomalia, terrò comunque presente il fatto dei client e nei prossimi test provo a riavviarli e vediamo se questa cosa era il frutto del problema.
intanto grazie a alla prossima