Shorewall: abilitare e configurare il firewall in linux (debian, ubuntu)

Il firefall su un server è una cosa fondamentale.
Per configurarlo occorre sapere a perfezione la sintassi di iptables? No!
Shorewall ci viene incontro grazie ad una sintassi più umana e la possibilità di configurare zone… Ma procediamo per ordine!

La versione di shorewall che installeremo sarà la 4.0.15-1, quella inclusa nella distribuzione Debian Lenny
Il primo passo è l’installazione, consiglio la versione in perl in quanto molto più performante:

apt-get install shorewall-perl

Bene, ora il nostro firewall attivo e possiamo cominciare la configurazione modificando il file /etc/shorewall/shorewall.conf con il nostro programma di editor preferito

pico -w /etc/shorewall/shorewall.conf

Visto che abbiamo installato shorewall-perl, abilitiamo il compilatore perl:

SHOREWALL_COMPILER = perl

Abilitiamo il log per i pacchetti marziani, cioè quei pacchetti che sono su una rete diversa da quella che in cui dovrebbero essere

LOG_MARTIANS = Yes

Settiamo una directory predefinita /etc/shorewall/localmacros in cui inserire i nostri file delle macro:

CONFIG_PATH=/et/shorewall:/usr/share/shorewall:/etc/shorewall/localmacros

Abilitiamo l’ip forwarding solo se necessario (se il firewall è installato su un sistema isolato oppure se l’accesso verso l’esterno avviene tramite proxy lasciare keep)

IP_FORWARDING = On

Abilitiamo anche il fast accept:

FAST_ACCEPT = Yes

Una breve menzione su ADMINISABSENTMINDED (letteralmente: l’amministratore è assente con la testa): lasciatelo a Yes, questo vi impedirà di bloccare la vostra connessione al sistema per colpa di qualche regola dovuta al troppo caffè

Per una guida completa ai parametri di configurazione di shorewall consultare la guida digitando

man shorewall.conf

Bene, ora la configurazione di shorewall è a posto! Con shorewall check possiamo testare se la configurazione è ok e non ci sono errori.
Proviamo ad eseguire il comando…

Debian:~# shorewall check
Checking...
   ERROR: No firewall zone defined

Ovviamente da errore perché non abbiamo definito nessuna zona!
Come facciamo a definirla? Dobbiamo creare un file zones nella directory /etc/shorewall. Lo copiamo direttamente dagli esempi del file e lo modifichiamo:

cp /usr/share/doc/shorewall-common/default-config/zones /etc/shorewall
pico -w /etc/shorewall/zones

Aggiungiamo quindi la nostra zona internet (massimo 5 caratteri!) di tipo ipv4:

inter ipv4

Riproviamo a dare shorewall check:

Debian:~# shorewall check
Checking...
   Checking /etc/shorewall/zones...
   ERROR: No network interfaces defined

Mancano le interfacce di rete.
Anche qui copiamo il file interfaces dagli esempi del file e lo modifichiamo:

cp /usr/share/doc/shorewall-common/default-config/interfaces /etc/shorewall
pico -w /etc/shorewall/interfaces

ed inseriamo:

inter eth0 - dhcp

stessa cosa per le policy:

cp /usr/share/doc/shorewall-common/default-config/policy /etc/shorewall
pico -w /etc/shorewall/policy

ed inseriamo:

all all DROP info

In questo modo qualsiasi connessione viene bloccata e loggata.

Ora eseguendo il check vedremo che tutto è configurato! Non ci resta che farlo partire con shorewall start!

Ovviamente tutte le porte saranno bloccate, quindi non andrà nulla
Ora dovremmo riempire il file delle regole con le nostre direttive!

Il file si chiama rules e lo troviamo sempre nelle configurazioni di default:

cp /usr/share/doc/shorewall-common/default-config/rules /etc/shorewall
pico -w /etc/shorewall/rules

Ecco un tipico file rules per un webserver:

COMMENT Abilito il ping
Ping/ACCEPT inter fw - - - - 1/sec

COMMENT Abilito http e https
Web/ACCEPT inter fw

COMMENT Abilito l'accesso via ssh da degli ip specifici
SSH/ACCEPT inter:67.27.1.10,27.37.6.7 fw

COMMENT Abilito il DNS
DNS/ACCEPT fw inter

COMMENT Abilito i server mail
SMTP/ACCEPT fw inter
SMTPS/ACCEPT fw inter
POP3/ACCEPT fw inter
POP3S/ACCEPT fw inter

COMMENT Abilito Webmin
Webmin/ACCEPT inter fw

COMMENT

Da ricordare che i commenti vanno chiusi con un COMMENT finale.

Un elenco delle macro disponibili si trova eseguendo

shorewall show macros

Ora il vostro firewall è configurato al minimo essenziale!

Per maggiori dettagli leggete la guida di shorewall!

firewall, linux, shorewall

Stampa l'articolo

Questo articolo è stato pubblicato da chalda il 2 novembre 2009 alle 02:15, ed è archiviato come Manuali ed istruzioni. Puoi seguire i commenti a questo post attraverso RSS 2.0. Puoi pubblicare un commento o segnalare un trackback dal tuo sito.

Articoli correlati
Commenti (0)

Nessun commento presente.

Nessun trackback

Trovare la dimensione di una cartella in linux

circa 9 mesi fa - Nessun commento

Qui ci torna utile il comando du: du -hs Dove: h: visualizza al dimensione in formato “Umano”, cioè aggiungendo K per kbyte, M per mega, G, per giga, etc… s: visualizza solo il totale, senza questo parametro visualizzerebbe ogni dimensione di ogni file…

Comprimere in linux con tar… in modo furbo :-)

circa 9 mesi fa - Nessun commento

Penso che tutti sappiano ormai come comprimere e decomprimere i file tgz, tar.gz, z, etc, in linux… Ma per chi non lo sapesse esiste un metodo più furbo per creare semplici backup incrementali utilizzando le date, in modo da avere già nel nome del file la data di creazione. Il comando per visualizzare una data

Convertire tutti i file ISO-8859-1 in utf-8

circa 9 mesi fa - Nessun commento

Certe volte, soprattutto in ambito web, i caratteri speciali (come le lettere accentate) appaiono in modo strano e incomprensibile anche se abbiamo impostato il nostro web server ad utilizzare utf-8. Questo nella maggior parte dei casi è dovuto ad una errata codifica dei file, spesso in ISO-8859-1. Per convertirli tutti in un colpo solo è

Come cercare e rimuovere file in linux

circa 9 mesi fa - Nessun commento

Per ricercare un file si utilizza il comando find con le opzioni -type f (di tipo file) e -name nomefile (di nome nomefile). Utilizzando i risultati del comando è possibile rimuovere i file: find ./directory -type f -name ‘Thumbs.db’ -exec rm {} \; Un esempio pratico ed utile è quello di rimuovere i file Thumbs.db

Settare i permessi a file/directory per apache

circa 9 mesi fa - Nessun commento

I permessi su linux sono essenziali Una buona configurazione dei permessi per apache è settare il proprietario a root e solo i file/directory necessari a www-data. Inoltre i permessi per i file devono essere a 644 (permessi di scrittura solo al proprietario e lettura a tutti), mentre le directory a 755. Per farlo in modo

Aggiungere una localizzazione in Linux

circa 9 mesi fa - Nessun commento

Le localizzazioni sono molto utili quando per esempio abbiamo bisogno che certe funzioni ritornino la data o la valuta formattata secondo standard locali. Questo è un caso classico della funzione strtotime di php. Per aggiungere una lingua basta modificare il file /etc/locale.gen ed inserire il codice della localizzazione. Per l’italiano: it_IT.UTF-8@euro UTF-8 Poi rigeneriamo le

Search & Replace tra i file in linux

circa 9 mesi fa - Nessun commento

Capita molto spesso di dover fare una classica ricerca e sostituzione all’interno dei file. Ok, ma come farlo in modo semplice ed automatico in linux? Utilizzando il seguente comando: grep -rl ‘OLDSTRING’ . | xargs perl -pi~ -e ‘s/OLDSTRING/NEWSTRING/’ Ovviamente al posto di OLDSTRING metteremo la stringa di ricerca e in NEWSTRING la stringa con

Come aggiungere font TTF in linux

circa 1 anno fa - Nessun commento

Per aggiungere i font TTF su linux (Debian, Ubuntu, Kubuntu) è semplicissimo: Basta aprire un terminale ed eseguire questa riga: mv nomefont.ttf /usr/share/fonts/truetype/ Ecco fatto! Ora bisogna aggiornare la cache dei font: fc-cache -f -v Ecco alcuni siti simpatici per scaricare font gratuitamente: http://www.webpagefonts.com/

Come proteggere una cartella in apache

circa 1 anno fa - Nessun commento

Per proteggere una cartella in apache da occhi indiscreti la procedura è molto semplice. Per prima cosa bisogna creare il file .htaccess nella directory da proteggere: AuthUserFile /percorso/htdocs/dir-protetta/.htpasswd AuthGroupFile /dev/null AuthName “Directory protetta, inserire i dati di accesso:” AuthType Basic <Limit GET> require valid-user </Limit> In dettaglio: AuthUserFile: Specifica il file contenente le password AuthName:

Abilitare/Disabilitare il System Beep in Linux (Debian, Ubuntu)

circa 1 anno fa - Nessun commento

Come fare per disattivare quel fastidiosissimo beep che esce dalle casse interne del nostro pc su linux (Debian, Ubuntu, Kubuntu, etc) ? Modificate il file /etc/modprobe.d/blacklist digitando: sudo pico -w /etc/modprobe.d/blacklist e aggiungete la seguente riga alla fine del file: blacklist pcspkr Salvate e uscite. Ora non resta che aggiornare i mod: sudo rmmod pcspkr

Shorewall: abilitare e configurare il firewall in linux (debian, ubuntu)

Nessun commento presente.

Nessun trackback

Trovare la dimensione di una cartella in linux

Comprimere in linux con tar… in modo furbo :-)

Convertire tutti i file ISO-8859-1 in utf-8

Come cercare e rimuovere file in linux

Settare i permessi a file/directory per apache

Aggiungere una localizzazione in Linux

Search & Replace tra i file in linux

Come aggiungere font TTF in linux

Come proteggere una cartella in apache

Abilitare/Disabilitare il System Beep in Linux (Debian, Ubuntu)

Pagine

Commenti Recenti

Articoli recenti

Flickr

wakoopa

Shorewall: abilitare e configurare il firewall in linux (debian, ubuntu)

Nessun commento presente.

Nessun trackback

Tag

Pagine

Commenti Recenti

Articoli recenti

Flickr

wakoopa