Differences

This shows you the differences between two versions of the page.

--- doc:appunti:net:source_routing [2018/11/05 11:55] – [Firewall dual homed e source routing con Shorewall] niccolo
+++ doc:appunti:net:source_routing [2025/10/07 10:56] (current) – [Firewall dual homed e source routing con Shorewall] niccolo
@@ Line 66: / Line 66: @@
 Attenzione alla **priorità delle regole** (rules)! Il numero più basso ha priorità maggiore, se non viene indicato il parametro **''priority''** nel comando **''ip rule add''** viene assegnato automaticamente un numero decrescente a partire da **32767** (unsigned int). Secondo questa priorità automatica quindi **la regola inserita per ultima ha priorità maggiore**.
 ====== Source IP con ip route ======
@@ Line 77: / Line 78: @@
 ip route add 78.47.114.234/32 via 62.48.51.1 src 62.48.51.127
 </code>
 ====== Routing in base al servizio ======
@@ Line 150: / Line 152: @@
   * In **''/etc/shorewall/interfaces''** si indicano le due interfacce collegate alla zona **net**.
-  * In **''/etc/shorewall/shorewall.conf''** si imposta **''ROUTE_FILTER=No''**, altrimenti il traffico in uscita dalla eth2 viene filtrato come //martian source//.
+  * In **''/etc/shorewall/shorewall.conf''** si imposta **ROUTE_FILTER=No**, altrimenti il traffico in uscita dalla eth2 viene filtrato come //martian source//.
-  * Per lo stesso motivo di cui sopra **non** si deve mettere l'opzione **''routefilter''** in **''/etc/shorewall/interfaces''**.
+  * In **''/etc/shorewall/interfaces''** **NON** ci deve essere l'opzione **routefilter=1** (misura anti-spoofing), per lo stesso motivo di cui sopra. **ATTENZIONE**: Se in ''shorewall.conf'' c'è l'opzione ''ROUTE_FILTER=Yes'', impostare qui ''routefilter=0'' non è sufficiente.
+  * In **''/etc/shorewall/interfaces''** è opportuno avere l'opzione **sourceroute=0** (parametro accept_source_route del kernel) sulle interfacce collegate a peer non fidati (connessioni ISP, ecc).
+**''/etc/shorewall/interfaces''**
+<file>
+# Dual-homed external interfaces require global ROUTE_FILTER=No in shorewall.conf.
+# The safe policy for connections with untrusted peers is to set accept_source_route to 0.
+# Notice: source route packets are nonsensical on a PPP link.
+accept_source_route = 0
+net    eth0    tcpflags,nosmurfs,sourceroute=0
+net    eth2    tcpflags,nosmurfs,sourceroute=0
+# Enable route filter (rp_filter kernel paramter) specifically on the local interface.
+loc    eth1    dhcp,routefilter=1
+</file>
 **''/etc/iproute2/rt_tables''**
@@ Line 180: / Line 196: @@
 </file>
-**''/etc/shorewall/masq''** (vecchio Shorewall v.4)
+**''/etc/shorewall/snat''** (per il nuovo Shorewall v.5)
 <file>
-eth0    10.22.20.0/24       # LAN to internet via HDSL
+SNAT(217.58.174.226)    192.168.1.0/24   eth0    # LAN to internet via HDSL
-eth2    10.22.20.0/24       # LAN to internet via ADSL
+SNAT(94.94.64.138)      192.168.1.0/24   eth2    # LAN to internet via ADSL
 </file>
-**''/etc/shorewall/snat''** (nuovo Shorewall v.5)
+**''/etc/shorewall/masq''** (per il vecchio Shorewall v.4)
 <file>
-SNAT(217.58.174.226)    192.168.1.0/24   eth0    # LAN to internet via HDSL
+eth0    10.22.20.0/24       # LAN to internet via HDSL
-SNAT(94.94.64.138)      192.168.1.0/24   eth2    # LAN to internet via ADSL
+eth2    10.22.20.0/24       # LAN to internet via ADSL
 </file>