57
contributi
Configurare Netfilter con Shorewall: differenze tra le versioni
Configurare Netfilter con Shorewall (visualizza wikitesto)
Versione delle 12:24, 9 set 2008
, 9 set 2008nessun oggetto della modifica
(Si procede lugo l'estate) |
Nessun oggetto della modifica |
||
| Riga 56: | Riga 56: | ||
</pre> | </pre> | ||
{{Box|Nota | {{Box|Nota|<tt>shorewall</tt> viene installato senza alcuna configurazione predefinita. In <tt>/usr/share/doc/shorewall/examples</tt> sono presenti alcuni file di configurazione a cui è possbile riferirsi per iniziare la configurazione del firewall.}} | ||
Terminata la configurazione, prima di avviare il servizio, è necessario editare <tt>/etc/default/shorewall</tt> per impostare la variabile <tt>startup</tt>: | Terminata la configurazione, prima di avviare il servizio, è necessario editare <tt>/etc/default/shorewall</tt> per impostare la variabile <tt>startup</tt>: | ||
| Riga 67: | Riga 67: | ||
==Dichiarazione delle Interfacce di Rete== | ==Dichiarazione delle Interfacce di Rete== | ||
Le interfacce di rete sono dichiarate nel file <tt>/etc/shorewall/interfaces</tt>: | |||
<pre> | |||
#ZONE INTERFACE BROADCAST OPTIONS | |||
net eth0 detect blacklist,norfc1918,nosmurfs,routefilter | |||
loc eth1 detect | |||
</pre> | |||
Sono state dichiarate due interfacce: l'interfaccia publica sta sulla <tt>eth0</tt>, mentre la ''LAN'' sulla <tt>eth1</tt>. | |||
Alle interfacce sono associate le etichette '''net''' e '''loc'''. | |||
Nel campo ''OPTIONS'' sono specificate delle opzioni attive sull'interfaccia '''net''': | |||
; blacklist: all'interfaccia è associato il file <tt>/etc/shorewall/blacklist</tt>, in cui si specificano gli indirizzi IP da bloccare | |||
; norfc1918: l'interfaccia non deve accettare pacchetti il cui indirizzo sorgente è specificato nell'RFC1918 (principalmente indirizzi privati | |||
; nosmurfs: filtra i pacchetti per gli ''smurfs'', cioè quelli che hanno come sorgente un indirizzo di broadcast | |||
; routefilter: contro misura per spoofing | |||
Per maggiori informazioni riferirsi a [http://www.shorewall.net/manpages/shorewall-interfaces.html interfaces(5)]. | |||
==Zone== | ==Zone== | ||
Le zone della rete sono dichiarate in <tt>/etc/shorewall/zones</tt>: | |||
<pre> | |||
############################################################# | |||
#ZONE TYPE OPTIONS IN OUT | |||
# OPTIONS OPTIONS | |||
fw firewall | |||
net ipv4 | |||
loc ipv4 | |||
</pre> | |||
Sono dichiarate una zona ''firewall'', ''net'' (internet) e ''loc'' (la rete locale). | |||
Il campo ''TYPE'' individua il tipo di zona: | |||
; firewall: è il firewall stesso e deve essere presente una sola zona di questo tipo | |||
; ipv4: è il tipo standard predefinito | |||
; ipsec: la comunicazione con gli host presenti in questa zona è criptata | |||
Per maggiorni informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-zones.html zones(5)]. | |||
==Politiche Predefinite== | ==Politiche Predefinite== | ||
Le politiche predefinite specificano la politica di interconnessione delle zone dichiarate in <tt>/etc/shorewall/zones</tt>. | |||
Si dichiarano nel file <tt>/etc/shorewall/policy</tt>: | |||
<pre> | |||
#SOURCE DEST POLICY LOG BURST:LIMIT | |||
# LEVEL | |||
loc net REJECT info | |||
net all DROP info | |||
all all REJECT info | |||
</pre> | |||
Sorgente e destinazione possono essere: | |||
; zone: un nome di zona definito nel file <tt>/etc/shorewall/zones</tt> | |||
; $FW: è il firewall stesso | |||
; all: tutte le zone | |||
Le politiche più comuni: | |||
; ACCEPT: la connessione viene accettata | |||
; DROP: la connessione viene ignorata silenziosamente | |||
; REJECT: per le connessioni TCP il firewall risponde con RST, per le altre connessioni il firewall risponde con un ICMP "unreacheable" | |||
Se il campo ''LOG'' è impostato, la connessioni sono registrate secondo il ''log level'' dichiarato. È possibile anche l'utilizzo di ULOG per | |||
la gestione dei log del firewall tramite l'infrastruttura ''ULOG''. | |||
==Parametrizzazione== | ==Parametrizzazione== | ||