Configurare Netfilter con Shorewall: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
nessun oggetto della modifica
(Si procede lugo l'estate)
Nessun oggetto della modifica
Riga 56: Riga 56:
</pre>
</pre>


{{Box|Nota 1|<tt>shorewall</tt> viene installato senza alcuna configurazione predefinita. In <tt>/usr/share/doc/shorewall/examples</tt> sono presenti alcuni file di configurazione a cui è possbile riferirsi per iniziare la configurazione del firewall.}}
{{Box|Nota|<tt>shorewall</tt> viene installato senza alcuna configurazione predefinita. In <tt>/usr/share/doc/shorewall/examples</tt> sono presenti alcuni file di configurazione a cui è possbile riferirsi per iniziare la configurazione del firewall.}}


Terminata la configurazione, prima di avviare il servizio, è necessario editare <tt>/etc/default/shorewall</tt> per impostare la variabile <tt>startup</tt>:
Terminata la configurazione, prima di avviare il servizio, è necessario editare <tt>/etc/default/shorewall</tt> per impostare la variabile <tt>startup</tt>:
Riga 67: Riga 67:


==Dichiarazione delle Interfacce di Rete==
==Dichiarazione delle Interfacce di Rete==
Le interfacce di rete sono dichiarate nel file <tt>/etc/shorewall/interfaces</tt>:
<pre>
#ZONE INTERFACE BROADCAST OPTIONS
net  eth0      detect    blacklist,norfc1918,nosmurfs,routefilter
loc  eth1      detect
</pre>
Sono state dichiarate due interfacce: l'interfaccia publica sta sulla <tt>eth0</tt>, mentre la ''LAN'' sulla <tt>eth1</tt>.
Alle interfacce sono associate le etichette '''net''' e '''loc'''.
Nel campo ''OPTIONS'' sono specificate delle opzioni attive sull'interfaccia '''net''':
; blacklist: all'interfaccia è associato il file <tt>/etc/shorewall/blacklist</tt>, in cui si specificano gli indirizzi IP da bloccare
; norfc1918: l'interfaccia non deve accettare pacchetti il cui indirizzo sorgente è specificato nell'RFC1918 (principalmente indirizzi privati
; nosmurfs: filtra i pacchetti per gli ''smurfs'', cioè quelli che hanno come sorgente un indirizzo di broadcast
; routefilter: contro misura per spoofing
Per maggiori informazioni riferirsi a [http://www.shorewall.net/manpages/shorewall-interfaces.html interfaces(5)].


==Zone==
==Zone==
Le zone della rete sono dichiarate in <tt>/etc/shorewall/zones</tt>:
<pre>
#############################################################
#ZONE  TYPE    OPTIONS    IN                      OUT
#                          OPTIONS                OPTIONS
fw      firewall
net    ipv4
loc    ipv4
</pre>
Sono dichiarate una zona ''firewall'', ''net'' (internet) e ''loc'' (la rete locale).
Il campo ''TYPE'' individua il tipo di zona:
; firewall: è il firewall stesso e deve essere presente una sola zona di questo tipo
; ipv4: è il tipo standard predefinito
; ipsec: la comunicazione con gli host presenti in questa zona è criptata
Per maggiorni informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-zones.html zones(5)].


==Politiche Predefinite==
==Politiche Predefinite==
Le politiche predefinite specificano la politica di interconnessione delle zone dichiarate in <tt>/etc/shorewall/zones</tt>.
Si dichiarano nel file <tt>/etc/shorewall/policy</tt>:
<pre>
#SOURCE  DEST  POLICY    LOG          BURST:LIMIT
#                          LEVEL
loc      net    REJECT    info
net      all    DROP      info
all      all    REJECT    info
</pre>
Sorgente e destinazione possono essere:
; zone: un nome di zona definito nel file <tt>/etc/shorewall/zones</tt>
; $FW: è il firewall stesso
; all: tutte le zone
Le politiche più comuni:
; ACCEPT: la connessione viene accettata
; DROP: la connessione viene ignorata silenziosamente
; REJECT: per le connessioni TCP il firewall risponde con RST, per le altre connessioni il firewall risponde con un ICMP "unreacheable"


Se il campo ''LOG'' è impostato, la connessioni sono registrate secondo il ''log level'' dichiarato. È possibile anche l'utilizzo di ULOG per
la gestione dei log del firewall tramite l'infrastruttura ''ULOG''.
==Parametrizzazione==
==Parametrizzazione==


57

contributi

Menu di navigazione