25/08/2019, 15:24
(Questo messaggio è stato modificato l'ultima volta il: 26/08/2019, 05:55 da maximumwarp.)
Causa alcuni cambiamenti nella mia LAN e aggiornamenti di alcuni dispositivi, ho deciso di dare una rinfrescata anche al Pi 3B che ormai da oltre un annetto usavo come server DNS e DHCP con Pi-hole e come server VPN con PiVPN.
Ho finito da qualche ora di reinstallare tutto e, a differenza della precedente installazione, ho deciso di configurare sul Pi anche iptables come firewall (anche perché ho installato anche fail2ban)...
Non sono molto esperto nella configurazione di iptables però sono riuscito a buttare giù alcune regole che fanno quel che desidero ma purtroppo non mi fanno andare il Pi come server DHCP (non vengono assegnati gli indirizzi). So (quasi) per certo che il problema è iptables perché se disabilito tutte le regole, il server DHCP comincia ad assegnare correttamente gli indirizzi IP, mi dareste una mano?
EDIT, ho risolto con la seguente configurazione:
Adesso sembra funzionare tutto come dovrebbe, mi resta solo un piccolo ma fastidioso problema: il Pi non è l'unico dispositivo della LAN che non è raggiungibile tramite il suo hostname ma solo tramite l'IP locale. Ovviamente è l'unico a non ricevere l'IP dal server DHCP (che poi è il server DHCP integrato in Pi-hole, ho disabilitato quello integrato nel modem/router), poiché gli ho assegnato un indirizzo statico. Come può essere?
Ho finito da qualche ora di reinstallare tutto e, a differenza della precedente installazione, ho deciso di configurare sul Pi anche iptables come firewall (anche perché ho installato anche fail2ban)...
Non sono molto esperto nella configurazione di iptables però sono riuscito a buttare giù alcune regole che fanno quel che desidero ma purtroppo non mi fanno andare il Pi come server DHCP (non vengono assegnati gli indirizzi). So (quasi) per certo che il problema è iptables perché se disabilito tutte le regole, il server DHCP comincia ad assegnare correttamente gli indirizzi IP, mi dareste una mano?
EDIT, ho risolto con la seguente configurazione:
Codice:
[color=#363636][size=small]# Generated by xtables-save v1.8.2 on Sun Aug 25 20:57:52 2019[/size][/color]
[color=#363636][size=small]*filter[/size][/color]
[color=#363636][size=small]:INPUT DROP [7219:607801]
[/size][/color]
:FORWARD ACCEPT [0:0]
[color=#363636][size=small]:OUTPUT ACCEPT [12348:1207627][/size][/color]
[color=#363636][size=small]# Loopback[/size][/color]
[color=#363636][size=small]-A INPUT -i lo -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -d 127.0.0.0/8 -j REJECT[/size][/color]
[color=#363636][size=small]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT[/size][/color]
[color=#363636][size=small]# Prerequisites[/size][/color]
[color=#363636][size=small]-A INPUT -i lo -p tcp -m tcp --dport 4711 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p udp -m udp --dport 67 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport 67 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p udp -m udp --dport 53 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT[/size][/color]
[color=#363636][size=small]# From the officiale Pi-hole Wiki[/size][/color]
[color=#363636][size=small]-A INPUT -i tun0 -p tcp -m tcp --dport 53 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -i tun0 -p udp -m udp --dport 53 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -i tun0 -p tcp -m tcp --dport 80 -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport xxxxx -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport xxxxx -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p udp -m udp --dport xxxxx -j ACCEPT[/size][/color]
[color=#363636][size=small]# Blocking HTTPS advertisement assets[/size][/color]
[color=#363636][size=small]-A INPUT -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport 443 -j REJECT --reject-with tcp-reset[/size][/color]
[color=#363636][size=small]-A INPUT -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable[/size][/color]
[color=#363636][size=small]# FTP[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport xxxxx -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -p tcp -m tcp --dport xxxxx -j ACCEPT[/size][/color]
[color=#363636][size=small]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT[/size][/color]
[color=#363636][size=small]-I INPUT 2 -p tcp --match multiport --dports xxxxx:yyyyy -j ACCEPT[/size][/color]
[color=#363636][size=small]# Ping[/size][/color]
[color=#363636][size=small]-A INPUT -p icmp --icmp-type echo-request -j ACCEPT[/size][/color]
[color=#363636][size=small]# Log iptables denied calls[/size][/color]
[color=#363636][size=small]-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 [/size][/color]
[color=#363636][size=small]COMMIT[/size][/color]
[color=#363636][size=small]# Completed on Sun Aug 25 20:57:52 2019[/size][/color]
[color=#363636][size=small]# Generated by xtables-save v1.8.2 on Sun Aug 25 20:57:52 2019[/size][/color]
[color=#363636][size=small]*nat[/size][/color]
[color=#363636][size=small]:PREROUTING ACCEPT [936:60255][/size][/color]
[color=#363636][size=small]:INPUT ACCEPT [607:42904][/size][/color]
[color=#363636][size=small]:POSTROUTING ACCEPT [757:40820][/size][/color]
[color=#363636][size=small]:OUTPUT ACCEPT [435:27940][/size][/color]
[color=#363636][size=small]-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE[/size][/color]
[color=#363636][size=small]COMMIT[/size][/color]
[color=#363636][size=small]# Completed on Sun Aug 25 20:57:52 2019[/size][/color]
Adesso sembra funzionare tutto come dovrebbe, mi resta solo un piccolo ma fastidioso problema: il Pi non è l'unico dispositivo della LAN che non è raggiungibile tramite il suo hostname ma solo tramite l'IP locale. Ovviamente è l'unico a non ricevere l'IP dal server DHCP (che poi è il server DHCP integrato in Pi-hole, ho disabilitato quello integrato nel modem/router), poiché gli ho assegnato un indirizzo statico. Come può essere?