Configurare Netfilter con Shorewall: differenze tra le versioni

Configurare Netfilter con Shorewall (visualizza wikitesto)

Versione delle 09:02, 14 set 2008

2 832 byte aggiunti , 14 set 2008

nessun oggetto della modifica

Nicsar

57

contributi

@@ Riga 124: / Riga 124: @@
 ; ACCEPT: la connessione viene accettata
 ; DROP: la connessione viene ignorata silenziosamente
-; REJECT: per le connessioni TCP il firewall risponde con RST, per le altre connessioni il firewall risponde con un ICMP "unreacheable"
+; REJECT: per le connessioni ''TCP'' il firewall risponde con ''RST'' (reset), per le altre connessioni il firewall risponde con un ''ICMP - unreacheable''.
+Se il campo ''LOG'' è impostato, la connessioni sono registrate secondo il ''log level'' dichiarato. È possibile anche l'utilizzo di ''ULOG'' per l'invio dei log del firewall all'infrastruttura ''ULOG''. Per l'utilizzo di ''ULOG'' è necessari o anche modificare il file <tt>/etc/shorewall/shorewall.conf</tt>.
+Impostando il campo ''BURST:LIMIT'' si specifica il rateo massimo di connessioni ''TCP'' e la misura di un ''burst'' accettabile.
+Per maggiori informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-policy.html policy(5)].
-Se il campo ''LOG'' è impostato, la connessioni sono registrate secondo il ''log level'' dichiarato. È possibile anche l'utilizzo di ULOG per
-la gestione dei log del firewall tramite l'infrastruttura ''ULOG''.
 ==Parametrizzazione==
+In <tt>/etc/shorewall/params</tt> si definiscono variabili e liste da utilizzare nelle regole o anche nelle interfacce.
+Per esempio:
+<pre>
+# Variabile
+HOSTA="1.2.3.4"
+HOSTB="1.2.3.5"
+# Lista di variabili
+MANGEMENTHOSTS="$HOSTA,$HOSTB"
+</pre>
+Per utilizzare nelle regole una variabile occorre specificarla nella forma ''$VARIABILE'', esattamente come avviene negli shell script.
+Per maggiori informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-params.html params(5)].
 ==Regole==
+Le regole vanno specificate nel file <tt>/etc/shorewall/rules</tt>.
+<pre>
+# Macro/ACTION SRC                  DST
+SSH/ACCEPT     net:$MANGEMENTHOSTS  $FW
+#
+ACCEPT         dmz:$MAILSERVER      net:$PYZOR   udp    24441
+</pre>
+Per maggiori informazioni riferirsi a [http://www.shorewall.net/3.0/manpages/shorewall-rules.html rules(5)].
 ===Macro predefinite===
+Le macro permettono di specificare le regole in modo semplice e sintetico.
+Shorewall viene distribuito con una serie di macro predefinite, installate in <tt>/usr/share/shorewall</tt>.
+Sono definite in file del tipo <tt>macro.NOMEMACRO</tt>. Per esempio <tt>macro.POP3</tt> individua il traffico in transito verso la porta <tt>110</tt> che normalmente è appunto utilizzata dal protocollo ''POP3''.
 ===Regole definite dall'utente===
-===Aggiungere Macro===
+===Macro definite dall'utente===
+L'utente può aggiungere macro a quelle già disponibili definendole in file tipo <tt>macro.*</tt> da creare in <tt>/etc/shorewall</tt>. Supponendo di voler cambiare la porta su cui ascola ''sshd'' da <tt>22</tt> a <tt>2222</tt>, possiamo definire la seguente macro:
+<pre>
+#ACTION SOURCE  DEST    PROTO   DEST    SOURCE  ORIGINAL        RATE    USER/
+#                               PORT    PORT(S) DEST            LIMIT   GROUP
+PARAM   -       -       tcp     2222
+#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
+</pre>
 ==Blacklist==
+Il file <tt>/etc/shorewall/blacklist</tt> è utilizzato per il ''blacklisting'' statico. Si possono specificare indirizzi IP e MAC. Quando un pacchetto giunge sull'interfaccia in cui è abilitata l'opzione '''blacklist''', il firewall controlla se l'indirrizzo IP sorgente e MAC (se disponibile) sono inclusi nella blacklist e quindi se il pacchetto va bloccato.
+È possibile anche specificare protocolla e porta.
+<pre>
+#ADDRESS/SUBNET       PROTOCOL        PORT
+# Una rete brasiliana
+.129.0.0/16
+# L'host 1.2.3.4 non deve collegarsi a squid.
+.2.3.4               tcp             3128
+</pre>
+Per maggiori informazioni [http://www.shorewall.net/3.0/manpages/blacklist.html blacklist(5)].
 ==Abilitare il forwarding==