Rigacci.Net

Strumenti Utente

Strumenti Sito

Traccia:
formazione:linux_sysadmin:shorewall

Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

Link a questa pagina di confronto

Entrambe le parti precedenti la revisioneRevisione precedente
Prossima revisione		Revisione precedente
formazione:linux_sysadmin:shorewall [2011/04/13 15:49] niccoloformazione:linux_sysadmin:shorewall [Data sconosciuta] (versione attuale) – eliminata - modifica esterna (Data sconosciuta) 127.0.0.1
Linea 1: Linea 1:
-====== Shorewall ====== 
  
-===== Esempio di firewall dual-homed ===== 
- 
-Firewall con due schede di rete, una sulla rete locale e l'altra su internet con IP pubblico (verso il router del provider). 
- 
-Dobbiamo scrivere 6 file in **''/etc/shorewall/''**: 
- 
-**/etc/shorewall/zones** 
- 
-Elenca le //zone// gestite dal firewall: 
- 
-<file> 
-fw      firewall   # Il firewall stesso 
-net     ipv4       # Internet 
-loc     ipv4       # Rete locale 
-vpn     ipv4       # Accessi via VPN 
-</file> 
- 
-**/etc/shorewall/interfaces** 
- 
-Associa ciascuna zona all'interfaccia di rete relativa: 
- 
-<file> 
-net     eth1    detect 
-loc     eth0    detect 
-vpn     tun0    detect 
-</file> 
- 
-**/etc/shorewall/policy** 
- 
-Policy predefinite tra le varie zone: 
- 
-<file> 
-fw      all     ACCEPT 
-loc     net     ACCEPT 
-vpn     loc     ACCEPT 
-net     fw      DROP    info 
-all     all     REJECT  info 
-</file> 
- 
-**/etc/shorewall/rules** 
- 
-Eccezioni alle policy predefinite. 
- 
-Esempio: 
- 
-  - Accetta connessioni SSH sul firewall da qualunque provenienza 
-  - Accetta traffico Samba (condivisione cartelle) da un singolo indirizzo IP internet 
-  - Accetta Samba da tutta la rete locale 
-  - Accetta traffico web da qualunque origine 
-  - Ridirigi il traffico rdp (porta 3389) da 88.57.16.26 verso il server interno 192.168.3.4 
-  
-NOTA: vedere il file **''/etc/services''** per la corrispondenza tra nome di un servizio e le porte usate 
- 
-<file> 
-ACCEPT  all              fw               tcp     22 
-ACCEPT  loc              fw               tcp     10000 
-ACCEPT  net:88.57.16.26  fw               tcp     445 
-ACCEPT  loc              fw               tcp     445 
-ACCEPT  all              fw               tcp     80 
-DNAT    net:88.57.16.26  loc:192.168.3.4  tcp     3389 
-</file> 
- 
-**/etc/shorewall/masq** 
- 
-Tutti i computer della rete locale saranno mascherati con l'indirizzo IP pubblico del firewall quando escono su internet (eth1): 
- 
-<file> 
-eth1    192.168.9.0/24 
-</file> 
- 
-**/etc/shorewall/shorewall.conf** 
- 
-Abilita il forwarding dei pacchetti IP (funzione tipica di un router/firewall): 
- 
-<file> 
-IP_FORWARDING=Yes 
-</file> 
- 
-===== Da riga di comando ===== 
- 
-Vedere le regole iptables attive in questo momento (nessuna regola in questo esempio): 
- 
-<code> 
-iptables -L -n 
-Chain INPUT (policy ACCEPT) 
-target     prot opt source               destination          
- 
-Chain FORWARD (policy ACCEPT) 
-target     prot opt source               destination          
- 
-Chain OUTPUT (policy ACCEPT) 
-target     prot opt source               destination          
-</code> 
- 
-Verificare le regole prima di attivarle, quindi attiva le regole 
- 
-<code> 
-shorewall check 
-shorewall restart 
-</code> 
formazione/linux_sysadmin/shorewall.1302702590.txt.gz · Ultima modifica: 2011/04/13 15:49 da niccolo