Scenario

Abbiamo una macchina Debian che vogliamo usare come gateway per internet, per poter fornire uno o più dei seguenti servizi:

  • Firewall
  • Transparent Proxy
  • Content Filtering
  • Routing verso un modem ADSL

La nostra rete LAN si presenta quindi in questo modo:

    INTERNET
       |
       |
   Modem ADSL
       |
       |
   Debian NAT
       |
       |
     Switch
       |
       |
    Rete LAN

Il nostro scopo è quello di utilizzare il modem ADSL per permettere a tutte le macchine della nostra rete LAN di andare in internet, passando attraverso il firewall Debian. Inoltre sarà configurato un accesso SSH da internet verso una macchina della nostra rete LAN.
Per tutta la guida verranno utilizzati i seguenti indirizzi:

  • Rete LAN: 192.168.1.0
  • Macchina accessibile via SSH: 192.168.1.200
  • Eth0 Debian NAT: 192.168.1.254
  • Eth1 Debian NAT: 172.16.200.254
  • Modem ADSL: 172.16.200.1

Installazione

In quasi tutte le versioni di Debian, il pacchetto iptables dovrebbe già essere installato, ma può esser utile controllare:

apt-get install iptables

Configurazione - I Modo

La prima configurazione proposta prevede l'utilizzo del pacchetto ipmasq, presente nei repository di Debian. Ipmasq è una collezione di script molto ben congegnata, che facilita la configurazione di un IP Masquerade su Debian GNU/Linux. l'IP Masquerade è una funzionalità del kernel di Linux che permette a un'intera rete di computer di essere connessa ad un'altra rete (quasi sempre internet) utilizzando l'indirizzo IP pubblico del gateway.
Di default, ipmasq configura il sistema sul quale è installato con le seguenti funzionalità:

  • protezione da IP spoofing
  • protezione da stuffed routing
  • connessioni permesse dalla LAN verso internet
  • connessioni bloccate da internet verso la LAN

Quindi con il semplice comando:

apt-get install ipmasq

risolviamo tutti i nostri problemi e otteniamo un firewall perfettamente funzionante.

Configurazione - II Modo

Tuttavia, se volessimo addentrarci in configurazioni particolari, ipmasq potrebbe starci un po' stretto. In questo capitolo vedremo pertanto come effettuare una semplice configurazione manuale di iptables.
Generalmente iptables viene configurato da linea di comando e non prevede files di configurazione; il modo migliore per rendere definitive le modifiche alla configurazione e mantenerle anche dopo un riavvio del server è utilizzare uno script.
Il seguente script configura iptables per un servizio di routing DNAT and SNAT (destination/source network address translation) e in più imposta una regola per accettare le connessioni entranti sulla porta 22 (SSH), dirottandole verso la macchina locale di indirizzo IP 192.168.1.200:

#!/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
NAME=firewall
DESC="Routing - NAT - SSH"

# Indirizzo IP della eth1 del firewall
EXTERNIP="172.16.200.254"

# La macchina della rete che risponde alle richieste SSH
SSHHOST="192.168.1.200"

# Il range IP della LAN
LOCALNET="192.168.1.0/24"

case "$1" in
  start)
        iptables -t nat -A POSTROUTING -d ! ${LOCALNET} -j SNAT --to ${EXTERNIP}
        iptables -t nat -A PREROUTING --dst ${EXTERNIP} -p tcp --dport 22 -j DNAT --to-destination ${SSHHOST}
        echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
        ;;
  stop)
        echo 0 > /proc/sys/net/ipv4/conf/all/forwarding
        iptables -t nat -F
        ;;
     *)
        N=/etc/init.d/$NAME
        echo "Usage: $N {start|stop}" >&2
        exit 1
        ;;
esac

exit 0

Modificate gli indirizzi IP secondo le vostre esigenze e salvate il file come //etc/init.d/firewall. A questo punto rendiamolo eseguibile con il comando:

chmod +x firewall

e automatizziamolo:

update-rc.d firewall defaults

Iptables in profondità