Configurare Netfilter con Shorewall: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
nessun oggetto della modifica
Nessun oggetto della modifica
Nessun oggetto della modifica
Riga 124: Riga 124:
; ACCEPT: la connessione viene accettata
; ACCEPT: la connessione viene accettata
; DROP: la connessione viene ignorata silenziosamente
; DROP: la connessione viene ignorata silenziosamente
; REJECT: per le connessioni TCP il firewall risponde con RST, per le altre connessioni il firewall risponde con un ICMP "unreacheable"
; REJECT: per le connessioni ''TCP'' il firewall risponde con ''RST'' (reset), per le altre connessioni il firewall risponde con un ''ICMP - unreacheable''.
 
Se il campo ''LOG'' è impostato, la connessioni sono registrate secondo il ''log level'' dichiarato. È possibile anche l'utilizzo di ''ULOG'' per l'invio dei log del firewall all'infrastruttura ''ULOG''. Per l'utilizzo di ''ULOG'' è necessari o anche modificare il file <tt>/etc/shorewall/shorewall.conf</tt>.
 
Impostando il campo ''BURST:LIMIT'' si specifica il rateo massimo di connessioni ''TCP'' e la misura di un ''burst'' accettabile.
 
Per maggiori informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-policy.html policy(5)].


Se il campo ''LOG'' è impostato, la connessioni sono registrate secondo il ''log level'' dichiarato. È possibile anche l'utilizzo di ULOG per
la gestione dei log del firewall tramite l'infrastruttura ''ULOG''.
==Parametrizzazione==
==Parametrizzazione==
In <tt>/etc/shorewall/params</tt> si definiscono variabili e liste da utilizzare nelle regole o anche nelle interfacce.
Per esempio:
<pre>
# Variabile
HOSTA="1.2.3.4"
HOSTB="1.2.3.5"
# Lista di variabili
MANGEMENTHOSTS="$HOSTA,$HOSTB"
</pre>
Per utilizzare nelle regole una variabile occorre specificarla nella forma ''$VARIABILE'', esattamente come avviene negli shell script.
Per maggiori informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-params.html params(5)].


==Regole==
==Regole==
Le regole vanno specificate nel file <tt>/etc/shorewall/rules</tt>.
<pre>
# Macro/ACTION SRC                  DST
SSH/ACCEPT    net:$MANGEMENTHOSTS  $FW
#
ACCEPT        dmz:$MAILSERVER      net:$PYZOR  udp    24441
</pre>
Per maggiori informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-rules.html rules(5)].
===Macro predefinite===
===Macro predefinite===
Le macro permettono di specificare le regole in modo semplice e sintetico.
Shorewall viene distribuito con una serie di macro predefinite, installate in <tt>/usr/share/shorewall</tt>.
Sono definite in file del tipo <tt>macro.NOMEMACRO</tt>. Per esempio <tt>macro.POP3</tt> individua il traffico in transito verso la porta <tt>110</tt> che normalmente è appunto utilizzata dal protocollo ''POP3''.
===Regole definite dall'utente===
===Regole definite dall'utente===
===Aggiungere Macro===
 
===Macro definite dall'utente===
L'utente può aggiungere macro a quelle già disponibili definendole in file tipo <tt>macro.*</tt> da creare in <tt>/etc/shorewall</tt>. Supponendo di voler cambiare la porta su cui ascola ''sshd'' da <tt>22</tt> a <tt>2222</tt>, possiamo definire la seguente macro:
<pre>
#ACTION SOURCE  DEST    PROTO  DEST    SOURCE  ORIGINAL        RATE    USER/
#                              PORT    PORT(S) DEST            LIMIT  GROUP
PARAM  -      -      tcp    2222
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
</pre>


==Blacklist==
==Blacklist==
Il file <tt>/etc/shorewall/blacklist</tt> è utilizzato per il ''blacklisting'' statico. Si possono specificare indirizzi IP e MAC. Quando un pacchetto giunge sull'interfaccia in cui è abilitata l'opzione '''blacklist''', il firewall controlla se l'indirrizzo IP sorgente e MAC (se disponibile) sono inclusi nella blacklist e quindi se il pacchetto va bloccato.
È possibile anche specificare protocolla e porta.
<pre>
#ADDRESS/SUBNET      PROTOCOL        PORT
# Una rete brasiliana
200.129.0.0/16
# L'host 1.2.3.4 non deve collegarsi a squid.
1.2.3.4              tcp            3128
</pre>
Per maggiori informazioni [http://www.shorewall.net/3.0/manpages/blacklist.html blacklist(5)].


==Abilitare il forwarding==
==Abilitare il forwarding==
57

contributi

Menu di navigazione