57
contributi
Configurare Netfilter con Shorewall: differenze tra le versioni
Configurare Netfilter con Shorewall (visualizza wikitesto)
Versione delle 14:32, 13 ago 2008
, 13 ago 2008Si procede lugo l'estate
(Prima Bozza) |
(Si procede lugo l'estate) |
||
| Riga 3: | Riga 3: | ||
Il software userspace associato a Netfilter è [http://www.netfilter.org/projects/iptables/index.html iptables] ed è utilizzato per configurare le regole di filtraggio dei pacchetti. | Il software userspace associato a Netfilter è [http://www.netfilter.org/projects/iptables/index.html iptables] ed è utilizzato per configurare le regole di filtraggio dei pacchetti. | ||
[http://www.shorewall.net Shorewall] è uno strumento ad alto livello per configurare Netfilter. | [http://www.shorewall.net Shorewall] è uno strumento ad alto livello per configurare Netfilter. | ||
La guida si rivolge a chi come me deve amministrare quotidianamente un cospicuo numero di firewall Linux e si rende conto della difficoltà oggettiva a farlo con i classici shell script iptables. | La guida si rivolge a chi come me deve amministrare quotidianamente un cospicuo numero di firewall Linux e si rende conto della difficoltà oggettiva a farlo con i classici shell script iptables. | ||
| Riga 13: | Riga 14: | ||
==Shorewall== | ==Shorewall== | ||
Shoreline Firewall (in breve Shorewall) rientra nella categoria degli strumenti ad alto livello per configurare Netfilter. | |||
Questo tipo di strumenti permettono di specificare regole di firewalling ad un livello d'astrazione più elevato di quello offerto da un semplice shell script iptables, utilizzando un linguaggio spesso vicino al modo in cui si definisce la politica di firewalling. | |||
Per specificare una politica di firewalling si potrebbe procedere come segue: | |||
# Individuazione delle zone di rete, p.e. rete locale, pubblica e DMZ. | |||
# Politiche predefinite per il traffico da una zona all'altra. | |||
# Regole di firewalling (non sono altro che delle eccezioni alle politiche predefinite di cui sopra. | |||
<pre>Politiche di Firewalling per XYZ | |||
Reti | |||
- locale | |||
- pubblica | |||
- DMZ | |||
Politiche di traffico predefinite | |||
pubblica -> locale DROP | |||
pubblica -> DMZ DROP | |||
locale -> pubblica REJECT | |||
locale -> DMZ ACCEPT | |||
DMZ -> locale DROP | |||
DMZ -> pubblica REJECT | |||
Regole | |||
locale -> pubblica:any:web ACCEPT | |||
locale -> pubblica:application_server:81 ACCEPT | |||
[...] | |||
</pre> | |||
Ovviamente si tratta solo di un breve esempio, tuttavia si vedrà di seguito come Shorewall utilizzi una procedura analoga e una sintassi simile a quella mostrata qui sopra. | |||
Il funzionamento di Shorewall consiste nel leggere dei file di configurazione, compilarli in una serie di comandi <tt>iptables</tt> ed eseguirli. Quindi non si tratta di un demone e il firewall funziona nello esattamente come quando lo si costruisce con il classico shell script. | |||
==Installazione in Debian GNU/Linux== | |||
L'installazione è semplicissima: | |||
<pre> | |||
~# apt-get install shorewall | |||
</pre> | |||
{{Box|Nota 1|<tt>shorewall</tt> viene installato senza alcuna configurazione predefinita. In <tt>/usr/share/doc/shorewall/examples</tt> sono presenti alcuni file di configurazione a cui è possbile riferirsi per iniziare la configurazione del firewall.}} | |||
Terminata la configurazione, prima di avviare il servizio, è necessario editare <tt>/etc/default/shorewall</tt> per impostare la variabile <tt>startup</tt>: | |||
<pre># prevent startup with default configuration | |||
# set the below varible to 1 in order to allow shorewall to start | |||
startup=1 | |||
</pre> | |||
A questo punto procedere con l'usuale: | |||
<pre>/etc/init.d/shorewall start</pre> | |||
==Dichiarazione delle Interfacce di Rete== | ==Dichiarazione delle Interfacce di Rete== | ||