Uno dei principali usi del nostro amato GNU/Linux è sicuramente quello del firewall.
Potente, economico, versatile e facile da configurare…bhe non sempre!!!
Rispetto ad ipchains, il vecchio firewall che stava nei kenrnel 2.0, Iptables/Netfilter ha reso la sintassi meno contorta, ma per creare regole elaborate può essere sempre una pratica ostica.
Inoltre le appliances firewall commerciali più conosciute, permettono di considerare il traffico entrante ed uscente non in schede di rete, ma in visione più ampia, in zone.
Ogni zona può “gestire” anche più schede di rete, e le interazioni tra zone saranno governate da policy di default che potranno essere “superate” da regole specifiche, ma andiamo con calma!!
Il files fondamentali che troverete in /etc/shorewall sono i seguenti
- zones
- interfaces
- policy
- rules
Ovviamente i nomi sono esplicativi, definizione delle zone, delle interfacce per ogni zona, delle policy di default tra zone e le specifiche regole.
Adesso vi riporterò una configurazione tipica con due schede di rete, con regole che bloccano il traffico di ingresso se non verso determinati ip, blocco totale del traffico in uscita (nattato) escluso determinate porte ed inoltre dei redirect per l’interazione con Dansguardian/Squid e p3scan, ovviamente il nome delle zone sono indicativi 
/etc/shorewall/zones
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
verde ipv4
rossa ipv4
#LAST LINE – ADD YOUR ENTRIES ABOVE THIS ONE – DO NOT REMOVE
/etc/shorewall/interfaces
#ZONE INTERFACE BROADCAST OPTIONS
verde eth0
rossa eth1 - routeback
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE
/etc/shorewall/policy
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
rossa fw DROP
rossa verde DROP
verde fw ACCEPT
verde rossa DROP
fw verde ACCEPT
fw rossa ACCEPT
#LAST LINE — DO NOT REMOVE
/etc/shorewall/rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT(S) PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
LOG:info verde fw tcp 22
LOG:info verde fw tcp 10000
ACCEPT rossa:XX.XX.XX.XX $FW tcp 22
ACCEPT rossa:XX.XX.XX.XX $FW tcp 10000
DNAT rossa:XX.XX.XX.XX verde:192.168.0.113 tcp 3389
REDIRECT verde 8110 tcp 110
REDIRECT verde 8080 tcp 80
ACCEPT verde rossa tcp 13,17,21,22,23,25,43,53,80,81,110,113,119,143,443
ACCEPT verde rossa tcp 465,993,995,1352,1755,1863,2003,2345,3389,4711
ACCEPT verde rossa tcp 2082,2401,4800,4899,5190,5900,7070,8080,8081,8443,8827,8775,10000
ACCEPT verde rossa tcp 50022,50080
ACCEPT verde rossa tcp 6665:6669
ACCEPT verde rossa tcp 1001:1010
ACCEPT verde rossa tcp 65120:65122
ACCEPT verde rossa tcp 60000:60010
ACCEPT verde rossa tcp 31443
ACCEPT verde rossa udp 37,53,123,3052,4569
Due breve righe su casi particolari (messi per esempio)
ACCEPT rossa:XX.XX.XX.XX $FW tcp 22 (accetta collegamenti ssh da un determinato ip)
ACCEPT rossa:XX.XX.XX.XX $FW tcp 10000 (accetta collegamenti sulla porta webmin)
DNAT rossa:XX.XX.XX.XX verde:192.168.0.113 tcp 3389 (port forwarding su un server windows 2003 interno. sempre solo da un determinato ip esterno)
REDIRECT verde 8110 tcp 110 (per il check del traffico da parte di p3scan)
REDIRECT verde 8080 tcp 80 (per il controllo dei contenuti da parte di Dansguardian)
Questa serie di regole dovrebbero permettervi una navigazione tranquilla degli utenti, ma anche una certa sicurezza (ad esempio impedire il peer to peer)
Maggiori info sulla sintassi le trovate nella documentazione ufficiale.
Inoltre le distro più adatte per questo uso, IMHO sono Debian e Trustix.
A presto con nuovi articoli sul tema!
Ah dimenticavo, un ottimo frontend per Shorewall è l’onnipresente Webmin!
Categories
Tag Cloud
Blog RSS
Comments RSS
Last 50 Posts
Back
Void 
Life 
Earth 
Wind 
Water 
Fire