3 581
contributi
Configurare Netfilter con Shorewall: differenze tra le versioni
Configurare Netfilter con Shorewall (visualizza wikitesto)
Versione delle 20:08, 15 dic 2015
, 15 dic 2015task #30
(Aggiunto template autori) |
m (task #30) |
||
| (2 versioni intermedie di uno stesso utente non sono mostrate) | |||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|}} | {{Versioni compatibili|Squeeze|Wheezy|Jessie}} | ||
==Introduzione== | ==Introduzione== | ||
[http://www.netfilter.org Netfilter] è il framework di filtraggio pacchetti presente nei Kernel Linux (>= 2.4). | [http://www.netfilter.org Netfilter] è il framework di filtraggio pacchetti presente nei Kernel Linux (>= 2.4). | ||
| Riga 101: | Riga 101: | ||
; <code>ipsec</code>: la comunicazione con gli host presenti in questa zona è criptata. | ; <code>ipsec</code>: la comunicazione con gli host presenti in questa zona è criptata. | ||
Per maggiori informazioni riferirsi a [http://www.shorewall.net | Per maggiori informazioni riferirsi a [http://www.shorewall.net/manpages/shorewall-zones.html zones(5)]. | ||
==Politiche Predefinite== | ==Politiche Predefinite== | ||
| Riga 129: | Riga 129: | ||
Impostando il campo <code>''BURST:LIMIT''</code> si specifica il rateo massimo di connessioni <code>''TCP''</code> e la misura di un <code>''burst''</code> accettabile. | Impostando il campo <code>''BURST:LIMIT''</code> si specifica il rateo massimo di connessioni <code>''TCP''</code> e la misura di un <code>''burst''</code> accettabile. | ||
Per maggiori informazioni riferirsi a [http://www.shorewall.net | Per maggiori informazioni riferirsi a [http://www.shorewall.net/manpages/shorewall-policy.html policy(5)]. | ||
==Parametrizzazione== | ==Parametrizzazione== | ||
| Riga 144: | Riga 144: | ||
Per utilizzare nelle regole una variabile occorre specificarla nella forma <code>''$VARIABILE''</code>, esattamente come avviene negli shell script. | Per utilizzare nelle regole una variabile occorre specificarla nella forma <code>''$VARIABILE''</code>, esattamente come avviene negli shell script. | ||
Per maggiori informazioni riferirsi a [http://www.shorewall.net | Per maggiori informazioni riferirsi a [http://www.shorewall.net/manpages/shorewall-params.html params(5)]. | ||
==Regole== | ==Regole== | ||
| Riga 155: | Riga 155: | ||
</pre> | </pre> | ||
Per maggiori informazioni riferirsi a [http://www.shorewall.net | Per maggiori informazioni riferirsi a [http://www.shorewall.net/manpages/shorewall-rules.html rules(5)]. | ||
===Macro predefinite=== | ===Macro predefinite=== | ||
| Riga 182: | Riga 182: | ||
</pre> | </pre> | ||
Per maggiori informazioni [http://www.shorewall.net | Per maggiori informazioni [http://www.shorewall.net/manpages/shorewall-blacklist.html blacklist(5)]. | ||
La blacklist può avere anche un carattere dinamico. Gli elementi presenti nella blacklist saranno | La blacklist può avere anche un carattere dinamico. Gli elementi presenti nella blacklist saranno | ||
| Riga 204: | Riga 204: | ||
==Masquerading (NAT)== | ==Masquerading (NAT)== | ||
L'<code>''IP Masquerading''</code> è una forma di <code>''NAT''</code> che permette di far condividere una connessione internet ad una LAN | L'<code>''IP Masquerading''</code> è una forma di <code>''NAT''</code> che permette di far condividere una connessione internet ad una LAN in modo semplice e comodo. | ||
in modo semplice e comodo. Supponiamo di avere la LAN collegata alla scheda di rete '''eth0''' e la connettività a | |||
'''eth1'''. Per fare in modo che la LAN sia "mascherata" dall'IP della connessione internet, editare il file <code>/etc/shorewall/masq</code>: | Supponiamo di avere la LAN collegata alla scheda di rete '''eth0''' (via <code>192.168.0.0/24</code>) e la connettività a '''eth1'''. Per fare in modo che la LAN sia "mascherata" dall'IP della connessione internet, editare il file <code>/etc/shorewall/masq</code>: | ||
<pre> | <pre> | ||
############################################################################### | ############################################################################### | ||
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC | #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC | ||
eth1 | eth1 192.168.0.0/24 | ||
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE | #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE | ||
</pre> | </pre> | ||
| Riga 234: | Riga 234: | ||
; <code>safe-restart</code>: salva la configurazione attuale, quindi applica quella nuova e chiede conferma per mantenere le nuove regole; se la conferma non è data entro 60 secondi sono riapplicate le regole precedenti; | ; <code>safe-restart</code>: salva la configurazione attuale, quindi applica quella nuova e chiede conferma per mantenere le nuove regole; se la conferma non è data entro 60 secondi sono riapplicate le regole precedenti; | ||
; <code>try configuration-directory [timeout]</code>: riavvia shorewall utilizzando la configurazione presente nella directory specificata e se sono rilevati errori o se il timeout è raggiunto, le regole precedenti sono riapplicate; | ; <code>try configuration-directory [timeout]</code>: riavvia shorewall utilizzando la configurazione presente nella directory specificata e se sono rilevati errori o se il timeout è raggiunto, le regole precedenti sono riapplicate; | ||
; <code> | ; <code>check</code>: esegue la validazione sintattica della configurazione; | ||
; <code>logwatch</code>: simile a <code>tail -f $LOGFILE</code>; | ; <code>logwatch</code>: simile a <code>tail -f $LOGFILE</code>; | ||
; <code>ipcalc [<address> <mask> | <address/vlsm>]</code>: dato un indirizzo di rete, mostra i corrispondenti indirizzi di network, broadcast e netmask. | ; <code>ipcalc [<address> <mask> | <address/vlsm>]</code>: dato un indirizzo di rete, mostra i corrispondenti indirizzi di network, broadcast e netmask. | ||