How To

Shorewall

Shorewall è un tool che partendo da una serie di regole semplificate produce un insieme completo di regole iptables. È comodo per implementare un firewall completo e facile da gestire.

Indice

 

Abstract

Questa pagina intende essere un riferimento rapido per applicare una configurazione di Shorewall al proprio pc. Viene discusso il caso di un computer connesso alla rete con una sola scheda di rete (ad esempio: connessione a FastWeb) e indicata una configurazione di esempio.

Esempio

Ecco un esempio di configurazione, costituito dalla configurazione minima necessaria a far funzionare Shorewall. Per ogni file sono indicate solo le righe da aggiungere / modificare. I file indispensabili al funzionamento sono:

  • shorewall.conf
  • zones
  • interfaces
  • policy
  • rules

Questi file possono essere presi dalla cartella /usr/share/doc/shorewall/default-config e modificati secondo le proprie necessità; all'interno contengono una rapida guida di riferimento per loro la configurazione.

shorewall.conf

La sigla fw indica il firewall, ovvero il computer su cui è installato shorewall.

FW=fw

zones

La sigla net indica la rete a cui il computer è connesso.

net    ipv4

interfaces

net    eth0    x.y.z.255

policy

Bloccare tutto il traffico è il comportamento predefinito.

net    fw    DROP
fw net DROP

rules

In questo file vengono definite le regole che permettono il traffico: sono delle eccezioni al comportamento definito dal file policy.

Permetti tutto

In questa configurazione si apre tutto il traffico in uscita su tutti i protocolli.

ACCEPT    fw    net    icmp
ACCEPT fw net udp 1:65535
ACCEPT fw net tcp 1:65535

Permetti solo la navigazione nel web e la posta elettronica

ACCEPT    fw    net    icmp
ACCEPT fw net tcp 25 # SMTP
ACCEPT fw net udp 53 # DNS
ACCEPT fw net tcp 53 # DNS
ACCEPT fw net tcp 80 # HTTP
ACCEPT fw net tcp 110 # POP
ACCEPT fw net tcp 143 # IMAP
ACCEPT fw net tcp 443 # HTTPS
ACCEPT fw net tcp 465 # SMTP (SSL)
ACCEPT fw net tcp 587 # SMTP (TSL)
ACCEPT fw net tcp 993 # IMAP (SSL)
ACCEPT fw net tcp 995 # POP (SSL)

Permetti la connessione verso una porta specifica di un host specifico

ACCEPT    fw    net:192.168.1.15    tcp    5820

Permetti ad un host specifico di connettersi ad una porta specifica

Identificazione tramite indirizzo IP

ACCEPT    net:192.168.1.15    fw    tcp    5820 

Identificazione tramite indirizzo MAC

ACCEPT    net:~00-08-74-4C-7F-1D    fw    tcp    5820 

Collegamenti esterni