|
prof. Nunzio Brugaletta |
|
EnneBi - Computer
Science
Avanti - Indietro
- Inizio
Quando un server rende disponibili dei servizi deve poter permettere l'accesso di questi ai client della rete, ma questi ultimi non devono, per motivi di sicurezza, poter avere accesso a porte diverse da quelle permesse. Un firewall è un filtro che permette di accettare o rifiutare il traffico di rete in entrata, ma anche in uscita, in un computer o in una rete. Quando, per esempio, si usa il comando ping per controllare se un host è raggiungibile specificandone l'indirizzo, la mancata risposta da parte del destinatario dei pacchetti, può voler dire che l'host non è raggiungibile, ma anche che l'host non risponde ai pacchetti ping. Il firewall potrebbe, infatti, non permettere questo tipo di comunicazione.
Il filtraggio dei pacchetti in transito solitamente si fa sulle macchine che funzionano da gateway fra una rete e l'altra.
Il firewall di Linux è basato su Netfilter che è uno strato software a livello kernel e l'opera di filtro sui pacchetti è fatta in base a regole che si compongono in liste chiamate catene. Esistono tre catene definite: INPUT (per i pacchetti in entrata), OUTPUT (per i pacchetti in uscita), FORWARD (per i pacchetti che transitano per il computer ma non sono destinati a questo e devono essere instradati). Le catene di regole si impostano usando il comando iptables, con cui si può impostare la catena a cui applicare la regola, il tipo di protocollo, la porta, l'interfaccia e come trattare il pacchetto.
Impostare le regole con iptables non è sicuramente una operazione semplicissima, visto le possibilità che offre il programma e la quantità di protocolli e possibilità. È possibile utilizzare parecchi front end, interfacce, verso iptables che permettono settaggi semplificati delle regole. Esistono front end grafici per semplici configurazioni e altri che permettono personalizzazioni maggiori. In questi appunti verrà trattato Shorewall. Si tratta di un sistema che si occupa, utilizzando una serie di file di configurazione, di impostare le regole per Netfilter. Nonostante non sia dotato di una interfaccia grafica, i file di configurazione da utilizzare sono abbondantemente autodocumentati e, inoltre, per ognuno esiste una pagina del manuale on-line, visualizzabile tramite il comando man, che spiega in estremo dettaglio tutte le impostazioni.
L'installazione del software genera, oltre all'eseguibile, le directory:
/etc/shorewall In questa directory si copiano i file con le impostazioni da passare all'eseguibile shorewall che si occupa di impostare le regole per Netfilter.
/usr/share/doc/shorewall o /usr/share/doc/shorewall-common. In questa directory sono contenute le sottodirectory default-config, con i file di configurazione pronti da personalizzare e copiare in /etc/shorewall, e examples con esempi di configurazione già pronti da usare.
/usr/share/shorewall In questa directory sono conservati una serie di file contenenti impostazioni già pronte per essere utilizzate nei file di configurazione e riguardati la maggior parte di servizi cui si può voler accedere (http, smtp, pop, ftp ecc...).
In definitiva la possibilità di utilizzare file di configurazione già predisposti per le varie combinazioni, la presenza di abbondanti commenti nei vari file di configurazione stessi, la disponibilità di pagine di manuale per tutte le operazioni possibili e il fatto stesso di distribuire le impostazioni in vari file, offrono un ambiente altamente personalizzabile e, nonostante l'assenza di interfacce grafiche, intuitivo e semplice da utilizzare.
|
|
ennebi@solira.org |