Shorewall è un tool che partendo da una serie di regole semplificate produce un insieme completo di regole iptables. È comodo per implementare un firewall completo e facile da gestire.
Indice |
Abstract
Questa pagina intende essere un riferimento rapido per applicare una configurazione di Shorewall al proprio pc. Viene discusso il caso di un computer connesso alla rete con una sola scheda di rete (ad esempio: connessione a FastWeb) e indicata una configurazione di esempio.
Esempio
Ecco un esempio di configurazione, costituito dalla configurazione minima necessaria a far funzionare Shorewall. Per ogni file sono indicate solo le righe da aggiungere / modificare. I file indispensabili al funzionamento sono:
- shorewall.conf
- zones
- interfaces
- policy
- rules
Questi file possono essere presi dalla cartella /usr/share/doc/shorewall/default-config e modificati secondo le proprie necessità; all'interno contengono una rapida guida di riferimento per loro la configurazione.
shorewall.conf
La sigla fw indica il firewall, ovvero il computer su cui è installato shorewall.
FW=fw
zones
La sigla net indica la rete a cui il computer è connesso.
net ipv4
interfaces
net eth0 x.y.z.255
policy
Bloccare tutto il traffico è il comportamento predefinito.
net fw DROP
fw net DROP
rules
In questo file vengono definite le regole che permettono il traffico: sono delle eccezioni al comportamento definito dal file policy.
Permetti tutto
In questa configurazione si apre tutto il traffico in uscita su tutti i protocolli.
ACCEPT fw net icmp
ACCEPT fw net udp 1:65535
ACCEPT fw net tcp 1:65535
Permetti solo la navigazione nel web e la posta elettronica
ACCEPT fw net icmp
ACCEPT fw net tcp 25 # SMTP
ACCEPT fw net udp 53 # DNS
ACCEPT fw net tcp 53 # DNS
ACCEPT fw net tcp 80 # HTTP
ACCEPT fw net tcp 110 # POP
ACCEPT fw net tcp 143 # IMAP
ACCEPT fw net tcp 443 # HTTPS
ACCEPT fw net tcp 465 # SMTP (SSL)
ACCEPT fw net tcp 587 # SMTP (TSL)
ACCEPT fw net tcp 993 # IMAP (SSL)
ACCEPT fw net tcp 995 # POP (SSL)
Permetti la connessione verso una porta specifica di un host specifico
ACCEPT fw net:192.168.1.15 tcp 5820
Permetti ad un host specifico di connettersi ad una porta specifica
Identificazione tramite indirizzo IP
ACCEPT net:192.168.1.15 fw tcp 5820
Identificazione tramite indirizzo MAC
ACCEPT net:~00-08-74-4C-7F-1D fw tcp 5820