Qui riportati per comodita' degli studenti (e del
- docente che non sara' mai piu' costretto a
- ripeterli continuamente! ). Gli altri lettori potranno
- tenerli presenti per cercare di comprendere gli esempi nel
- testo. Ad esempio: quando leggerete Sono qui riportati i parametri della rete locale per
+ comodita' degli studenti, gli altri lettori possono
+ considerarli come riferimento per comprendere i valori
+ espressi nei vari file di configurazione. Ad esempio:
+ quando leggerete 10.10.208.254:3128 saprete che si tratta
del nostro proxy http, stara' quindi a voi
sostituire i dati con gli equivalenti IP della
@@ -898,8 +926,8 @@
Sul portatile di Andrea, corrispondente all'IP 254, gira
- un DHCP, proxy http e mirror di Debian ( http://debian.piffa.net). Se
- Andrea non e' in aula (o ancora peggio non c'e' il suo
- portatile Net) gli studenti dovranno darsi un indirizzo IP
- manualmente e disabilitare il proxy (che pero' e
- trasparente, quindi fate pure come se non ci fosse ;) . Ad
- oggi il lab208 e' servito dal server Bender (254 o
- 248) che ha ripreso le sue vecchie funzioni. Dal server locale degli studeti,
+ Bender, corrispondente all'IP 10.10.208.248, vengono erogati i servizi
+ DHCP, DNS, gateway (con NAT), proxy http e mirror della
+ distribuzione Debian ( http://debian.piffa.net).
+ Altri servizi in esecuzione sul server: Durante il corso delle lezioni e' opportuno che le
+ macchine degli studenti si appoggino al server Bender
+ (ottetto finale 248), nel caso questo non fosse
+ raggiungibile (ad esempio per permettere impostazioni di
+ DHCP / routing diverse) sara' comunque disponibile il
+ 10.10.208.254 come gateway | DNS per la
+ rete 10.10.208.10. Non e' piu' possibile raggiungere
+ Bender tramite l'IP pubblico 212.22.136.248 o qualsiasi altro
+ ip della classe C 212.22.136.0/24 precedentemente
+ disponibile. Il computer del docente con il server VNC e' sempre
+ configurato con l'ottetto finale: 177 della
+ rete utilizzata durante le lezioni (quindi generalmente la
+ VNC sara' disponibile sul 10.10.208.177:1. Gli studenti sono pregati di non impedire l'accesso SSH
+ alla propria macchina dal computer del docente, e non
+ modificare la password dell'utente root del
+ sistema operativo pre-istallato (ad es:
+ Diurno).
- 10.10.208.254
-
-
-
proxy http
-
- 10.10.208.254:3128
-
+
+
+
Assicurarsi che sia installata nel sistema la versione - completa dell'editor vim - installando il pacchetto vim:
- # apt-get install vim
-
-e modificare il file di configurazione generale ``/etc/vim/vimrc`` ::
-
- " All system-wide defaults are set in $VIMRUNTIME/debian.vim (usually just
- " /usr/share/vim/vimcurrent/debian.vim) and sourced by the call to :runtime
- " you can find below. If you wish to change any of those settings, you should
- " do it in this file (/etc/vim/vimrc), since debian.vim will be overwritten
- " everytime an upgrade of the vim packages is performed. It is recommended to
- " make changes after sourcing debian.vim since it alters the value of the
- " 'compatible' option.
-
- " This line should not be removed as it ensures that various options are
- " properly set to work with the Vim-related packages available in Debian.
- runtime! debian.vim
-
- " Uncomment the next line to make Vim more Vi-compatible
- " NOTE: debian.vim sets 'nocompatible'. Setting 'compatible' changes numerous
- " options, so any other options should be set AFTER setting 'compatible'.
- "set compatible
-
- " Vim5 and later versions support syntax highlighting. Uncommenting the next
- " line enables syntax highlighting by default.
- syntax on
-
- " If using a dark background within the editing area and syntax highlighting
- " turn on this option as well.
- set background=dark
-
- " Uncomment the following to have Vim jump to the last position when
- " reopening a file
-
- if has("autocmd")
- au BufReadPost * if line("'\"") > 0 && line("'\"") <= line("$")
- \| exe "normal! g'\"" | endif
- endif
-
- " Uncomment the following to have Vim load indentation rules and plugins
- " according to the detected filetype.
- " This is not recommanded if you often copy and paste into vim,
- " as it messes all the indentation.
- if has("autocmd")
- filetype plugin indent on
- endif
-
- " This goes for comments folding: use co to expnad and zc to compress,
- " zi to toggle on/off
- set fdm=expr
- set fde=getline(v:lnum)=~'^\\s*#'?1:getline(prevnonblank(v:lnum))=~'^\\s*#'?1:getline(nextnonblank(v:lnum))=~'^\\s*#'?1:0
-
- " The following are commented out as they cause vim to behave a lot
- " differently from regular Vi. They are highly recommended though.
- set showcmd " Show (partial) command in status line.
- "set showmatch " Show matching brackets.
- # Ignorecase is quite userfull
- set ignorecase " Do case insensitive matching
- "set smartcase " Do smart case matching
- "set incsearch " Incremental search
- set autowrite " Automatically save before commands like :next and :make
- "set hidden " Hide buffers when they are abandoned
- "set mouse=a " Enable mouse usage (all modes) in terminals
-
- " Source a global configuration file if available
- " XXX Deprecated, please move your changes here in /etc/vim/vimrc
- if filereadable("/etc/vim/vimrc.local")
- source /etc/vim/vimrc.local
- endif
+# apt-get install vim
+
+
+ Modificare poi il file di configurazione generale + /etc/vim/vimrc
+
+" All system-wide defaults are set in $VIMRUNTIME/debian.vim (usually just
+" /usr/share/vim/vimcurrent/debian.vim) and sourced by the call to :runtime
+" you can find below. If you wish to change any of those settings, you should
+" do it in this file (/etc/vim/vimrc), since debian.vim will be overwritten
+" everytime an upgrade of the vim packages is performed. It is recommended to
+" make changes after sourcing debian.vim since it alters the value of the
+" 'compatible' option.
+
+" This line should not be removed as it ensures that various options are
+" properly set to work with the Vim-related packages available in Debian.
+runtime! debian.vim
+
+" Uncomment the next line to make Vim more Vi-compatible
+" NOTE: debian.vim sets 'nocompatible'. Setting 'compatible' changes numerous
+" options, so any other options should be set AFTER setting 'compatible'.
+"set compatible
+
+" Vim5 and later versions support syntax highlighting. Uncommenting the next
+" line enables syntax highlighting by default.
+syntax on
+
+" If using a dark background within the editing area and syntax highlighting
+" turn on this option as well.
+set background=dark
+
+" Uncomment the following to have Vim jump to the last position when
+" reopening a file
+
+if has("autocmd")
+ au BufReadPost * if line("'\"") > 0 && line("'\"") <= line("$")
+ \| exe "normal! g'\"" | endif
+endif
+
+" Uncomment the following to have Vim load indentation rules and plugins
+" according to the detected filetype.
+" This is not recommanded if you often copy and paste into vim,
+" as it messes all the indentation.
+if has("autocmd")
+ filetype plugin indent on
+endif
+
+" This goes for comments folding: use co to expnad and zc to compress,
+" zi to toggle on/off
+set fdm=expr
+set fde=getline(v:lnum)=~'^\\s*#'?1:getline(prevnonblank(v:lnum))=~'^\\s*#'?1:getline(nextnonblank(v:lnum))=~'^\\s*#'?1:0
+
+" The following are commented out as they cause vim to behave a lot
+" differently from regular Vi. They are highly recommended though.
+set showcmd " Show (partial) command in status line.
+"set showmatch " Show matching brackets.
+# Ignorecase is quite userfull
+set ignorecase " Do case insensitive matching
+"set smartcase " Do smart case matching
+"set incsearch " Incremental search
+set autowrite " Automatically save before commands like :next and :make
+"set hidden " Hide buffers when they are abandoned
+"set mouse=a " Enable mouse usage (all modes) in terminals
+
+" Source a global configuration file if available
+" XXX Deprecated, please move your changes here in /etc/vim/vimrc
+if filereadable("/etc/vim/vimrc.local")
+ source /etc/vim/vimrc.local
+endif
I principianti faranno bene ad esercitarsi con vimtutor it.
+ +Altri link per VIM:
+ +su root cd /bin -wget http://debian.piffa.net/guarda.sh +wget http://bender/guarda.sh chmod +x guarda.sh exit+
Per eseguire lo script digitare semplicemente guarda.sh, + oppure creare un link / collegamento sul Desktop allo + script /bin/guarda.sh.
+ +Le impostazioni del server VNC sono:
+ +| Parametro | + +Valore | +
|---|---|
| IP | + +10.10.208.177:1 | +
| Server grafico | + +:1 | +
| password | + +password | +
Si noti che non e' possibile lanciare un applicativo sul server grafico di un utente da una shell in cui si sta lavorando come altro utente, anche se root. E' quindi @@ -1264,10 +1407,9 @@ kde-core kdm kde-i18n-it xorg vim less xtightvncviewer pacchetto kde. Esiste un equivalente gnome-core gnome per chi preferisce gnome, nel - caso si potrebbe installare il log-in manager - gnome-core per chi preferisce + Gnome, nel caso si potrebbe installare il log-in + manager gdm al posto di kdm. @@ -1317,7 +1459,8 @@ kde-core kdm kde-i18n-it xorg vim less xtightvncviewer
Questo file contiene le opzioni di apt, come ad esempio il proxy:
-Acquire::http::Proxy "http://10.10.208.254:3128"; +Acquire::http::Proxy "http://10.10.208.248:3128";
Si tenga conto che se si imposta un proxy per apt sul proprio portatile e tornati a casa propria si vuole - scaricare nuovi pacchetti si dovra' disabilitare il - proxy.
+ scaricare nuovi pacchetti si dovra' disabilitare il proxy + commentando la riga con ";" (''punto-e-virgola''): + + + +E' consigliabile impostare il proxy per apt anche in + presenza di un proxy-http trasparente
@@ -1380,33 +1537,35 @@ Acquire::http::Proxy "http://10.10.208.254:3128";Squid e' un proxy cache http (ma anche FTP e https) robusto e strutturato, puo' essere usato sia in reti - relativamente piccole grazie alla semplicita' di - configurazione che in scenari piu' complessi grazie alla - possibilita' di gestirne in modo granulare le risorse. Si - partira' dalle configurazioni piu' semplici per la semplice - condivisione della navigazione internet, per poi - poter configurare la gestione degli accessi, il filtraggio - dei contenuti (Squid e' una applicazione che si muove nel 4' - livello del modello TCP/IP a differenza di un - ipfilter limitato al 2') nel l bilanciamento del - carico tra piu' hosts.
+ relativamente semplici che in scenari piu' complessi grazie + alla possibilita' di gestirne in modo granulare le risorse. + Si partira' dalle configurazioni piu' semplici per la + semplice condivisione della navigazione internet, + per poi poter configurare la gestione degli accessi, il + filtraggio dei contenuti (Squid e' una applicazione che si + muove nel 4' livello del modello TCP/IP a differenza di un + ipfilter limitato al 2'), nel bilanciamento del + carico tra piu' server proxy.Cosa a volte sottovalutata, Squid permette la navigazione web a una rete basata su indirizzi IP privati (es una 192.168.0.0/24). E se la rete privata deve solo - navigare in internet, non serve un NAT od - altro, basta il solo Squid. Per altro non servira' neanche un - servizio DNS dato che sara' il solo Squid a risolvere i - nomi di dominio per i suoi client http.
+ navigare in internet, non serve dover introdurre nella + rete un NAT (si veda la sezione sui firewall) per + condividere la connessione, basta il solo Squid. Per altro + non servira' neanche un servizio DNS utilizzabile dai clients + dato che sara' il solo Squid a risolvere i nomi di + dominio per i suoi client http.Squid ascolta di default sulla porta 3128, per impostare apt per utilizzarlo si aggiunga ad + da' vita al World Wide Web, uno dei servizi piu' utilizzati + di Internet.
Il contenuto e' un associazione tra un IP e - stringhe di testo (anche piu' di una es: mirror e mirror.piffa.net), un record per - riga.
+ "pre">mirror.piffa.net.Il problema e' la gestione di questo file: quando gli host cambiano IP si devono aggiornare i records, e poi c'e' @@ -3057,8 +3243,9 @@ l.google.com. 80856 IN NS g.l.google.com. questo file e' utilizzare Dnsmasq: questo infatti legge e onora il file hosts - locale e lo distribuisce ai clients.
+ "docutils literal">hosts che + avete prodotto e lo distribuisce ai clients + tramite le normali query DNS.Modificare (riconducendola a un IP interno, cosi' annullandola) la risoluzione di un nome di dominio e' un @@ -3119,16 +3306,24 @@ l.google.com. 80856 IN NS g.l.google.com. "#id59">5 DNSmasq
Dnsmasq puo' svolgere le funzioni di un DNS cache / - forwarder e un server DHCP caratterizzato dalla facilita' di - configurazione, leggerezza e dalla possibilita' di modificare - rapidamente i record DNS serviti alla rete. Puo' essere anche - utilizzato come server per il boot da rete + forwarder, server DHCP, e' caratterizzato dalla facilita' di + configurazione, limitato uso di risorse, adattabilita' a + connessioni dinamiche come ADSL o altre punto a + punto (anche via cellulari) per condividere rapidamente la + rete (cosa molto utile se ci dovesse trovare a ridare + connettetivita' a una rete momentaneamente sprovvista), dalla + possibilita' di modificare rapidamente i record DNS serviti + alla rete anche grazie alla distribuzione del file /etc/hosts + locale. Puo' essere anche utilizzato come server per il + boot da rete <http://www.debian-administration.org/articles/478>_ .
Dnsmasq e' un interessante alternativa all'uso del server - DNS Bind in modalita' cache-only (non autoritativo) - accompagnato dal server DHCPd. I vantaggi sono:
+ DNS Bind in modalita' forwarding e cache-only (non + autoritativo) accompagnato dal server DHCPd. I vantaggi + sono:Aggiungere al file Dnsmasq lavora di default come cache dns: inserire al + file /etc/resolv.conf il nameserver localhost - in cima alla lista dei nameserver disponibili. - Dnsmasq usera' la propria cache e in caso non abbia - disponibile il record DNS richiesto fara' partire - una query al primo DNS:
--nameserver 127.0.0.1 -+ in cima alla lista dei nameserver disponibili. + +
+ nameserver 127.0.0.1 +
Questo pero' potrebbe essere problematico se un altro servizio, ad esempio il DHCP client, riscrive il contenuto @@ -3435,9 +3628,11 @@ $TTL 3D ; 3 days ns1 A 94.23.63.105 ns2 A 65.98.21.97 zoo A 94.23.63.105 +smtp A 94.23.63.105 test.piffa.net. A 94.23.63.105 *.piffa.net. A 94.23.63.105 ; *catch all domain www CNAME zoo +ftp CNAME zoo
All'interno di questo file si possono inserire dei @@ -3572,7 +3767,8 @@ normale IN A 94.23.63.105 ; usa il TTL di default: 3 giorni
Data l'importanza del servizio DNS e' necessario avere + ridondanza per i server DNS che ospitano i vostri dati: in + caso di indisponibilita' del server master (nel + caso fosse il solo a tenere i dati questo comporterebbe la + scomparsa di tutti i servizi / host da esso + seviti!) il client potrebbe contattare uno degli + slave.
+ +Gli slave recuperano i dati dei recordos RR direttamente + dal master e non sara' quindi necessario dover mantenere + manualmente il file di configurazione della zona sugli + slaves, ogni volta che aggiorneremo il master questi dati + si propaghera' agli slaves automaticamente.
+ +Per attivare uno slave per la nostra zona di + esempio piffa.net si inserisca nel file + named.conf.local dello slave server:
+
+zone "piffa.net" {
+ type slave;
+ file "/etc/bind/pz/piffa.net";
+ masters { 192.168.0.1; };
+ };
+
+
+ Facendo ripartire Bind il file /etc/bind/pz/piffa.net viene creato + automaticamente.
+ +Segue un estratto di /var/log/syslog al restart di + bind9 sullo slave:
++... slave named[2256]: zone piffa.net/IN: loaded serial 200905245 +... slave named[2256]: running +... slave named[2256]: zone piffa.net/IN: sending notifies (serial 200905245) +... slave named[2256]: client 192.168.0.1#1464: received notify for zone 'piffa.net' +... slave named[2256]: zone piffa.net/IN: notify from 192.168.0.1#1464: zone is up to date ++ +
Avvertenza
+ +Bind9 (versione 9.3 presente in Debian + Lenny) richiede una esplicita autorizzazione alla + notifica per lo stesso server slave, che in fase di avvio + interroghera' (inviando un notify) se' stesso per + valutare se i dati relativi alla zona di cui e' slave + sono aggiornati. Si aggiunga quindi al file /etc/bind/named.conf.options dello + slave: allow-notify { + 192.168.0.1; }; all'interno della stanza options, + in cui l'inidirizzo IP inserito e' quello dello stesso + slave server.
+Dalla versione 8 di Bind e' dsponibile l'utility + nsupdate (disponibile nel pacchetto + dnsutils) per aggiornare automaticamente + i record di una zona secondo il paradigma client / server ( + RFC2136 ) . Posto che abbiate a disposizione un server DNS + Bind on-line su un indirizzo IP fisso e un zona da gestire + (che potrebbe essere anche solo la delega di un dominio di + terzo livello come casa.miodominio.net) sara' + possibile aggiornare automaticamente i record che tirano a + degli indirizzi IP pubblici ma dnamici, come + quelli spesso messi a disposizione dei provider per le + connessioni ad internet residenziali, in modo da poter + rendere sempre raggiungibile la vostra workstation a casa + anche dopo un aggiornamento dell'ip dinamico associato alla + connessione.
+ +L'auenticazione del client nsupdate che avra' la + possibilita' di aggiornare il server DNS master avviene + tramite Transaction signatures (TSIG, RFC2845) + usando un algoritmo di criptazione dati asimmetrico + HMAC-MD5 : generata una coppia di chiavi sul + client / nsupdate con l'utility si dovra' trasferire la + chiave pubblica sul server master, che verra' + configurato per onorare gli aggiornamenti (eliminazione e + inserimento di record RR) autenticati dalla chiave + privata.
+ +Sul client, sul quale non deve essere necessariamente + installato un server DNS Bind ma la sola utility + nsupdate, generiamo la coppia di chiavi + con l'utility dnssec-keygen installabile tramite il + pacchetto bind9utils:
++dnssec-keygen -a HMAC-MD5 -b 512 -n USER home.piffa.net. ++ +
Otterremo le due chiavi Khome.piffa.net.+157+04331.key + Khome.piffa.net.+157+04331.private, la + chiave pubblica dovra' essere resa noto al server master + che ricevera' l'update dei records.
+Nota
+ +La parte secret, che potete leggere + direttamente nel file *.key della chiave genearta, e' + scritto tutto sulla stessa riga senza ritorni + a capo.
+Sul server modifichiamo il file di configurazione + named.conf.local della zona della quale + vogliamo concedere l'aggiornamento al client:
+
+zone "piffa.net" {
+ type master;
+ file "/etc/bind/pz/piffa.net" ;
+ allow-update {
+ key home.piffa.net;
+ };
+};
+
+
+ Altro problema che si potrebbe porre: gli orologi di + sistema dei due host devono essere sincronizzati per + poter valutare l'opportunita' di un aggiornamento: si + consigla di installare su entrambi l'utility ntpdate + e di eseguirla facendo riferimento ai time server di + Debian:
++apt-get install ntpdate +ntpdate-debian ++ +
Ora possiamo provare dal client a effettuare + l'iserimento di un record per testarne il + funzionamento:
++# nsupdate -k Khome.piffa.net.+157+04331.private -v +> server ns1.piffa.net +> update add home.piffa.net. 86400 A 192.168.0.2 +> show +Outgoing update query: +;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0 +;; flags: ; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0 +;; UPDATE SECTION: +home.piffa.net. 86400 IN A 192.168.0.1 + + +> send ++ +
Per comprendere meglio l'uso dell'utility nsupdate + si consiglia la lettura della relativa pagina man. Nella + prima riga viene invocato il comando nsupdate + impostando col flag -k la + chiave privata generata precedentemente, con + server si imposta quale server NS + autoritario della zona (che abbiamo precedentemente + configurato per ricevere gli aggiornamenti) vogliamo + contattare. Alla riga sucessiva update + viene aggiunto un record A per la + il dominio home.piffa.net indirizzato all'IP + 192.168.0.2, poi show + mostra quanto ci si prepara a comunicare al server con il + finale send .
+ +Si noti che in questo modo l'intera zona + piffa.net e suscettibile di essere modificata dal client, + che potra' eliminare e inserire qualunque record. E' + possibile gestire in modo piu' granulare la zona, ad + esempio concedendo al client i privilegi per gestire solo + una parte della zona o i tipo di record da gestire.
+Samba e' un progetto libero che fornisce servizi di condivisione di file e stampanti a client SMB/CIFS.
@@ -3657,7 +4123,7 @@ normale IN A 94.23.63.105 ; usa il TTL di default: 3 giorniPacchetti da installare per utilizzare Samba in
modalita' client
Per poter configurare Samba in modo che usi un sistema
@@ -3771,7 +4237,7 @@ dpkg-reconfigure samba-common
Creiamo per primo l'utente sotto GNU/Linux, facendo
attenzione a non dargli una shell di sistema. Gli
@@ -3808,7 +4274,7 @@ smbpasswd sambo
La condivisione altro non e' che una cartella sul server
@@ -3835,7 +4301,7 @@ smbpasswd sambo
Bisognerebbe notare sul server i permessi di
@@ -3865,7 +4331,7 @@ smbpasswd sambo
Avendo preparato gli utenti (ancora una volta: non si
@@ -3904,7 +4370,7 @@ smbpasswd sambo
Se si deve condividere una risorsa con un numero
@@ -3941,7 +4407,7 @@ valid users = @nome_gruppo
Come testare il servizio Il server di posta che prenderemo in considerazione e'
Postfix, a seguire un estratto di un file di configurazione
@@ -4031,7 +4497,7 @@ inet_interfaces = all
Per testare il corretto funzionamento del server di
posta si puo' procedere in vari modi. Postfix e' un server SMTP, di conseguenza se volete che
i vostri utenti possano scaricare in locale la
@@ -4124,7 +4590,7 @@ swaks --to andrea@piffa.net from andrea@mydomain.com
Per testare il corretto funzionamento del server di
@@ -4134,7 +4600,7 @@ swaks --to andrea@piffa.net from andrea@mydomain.com
Mutt e' uno dei gestori di posta preferiti da chi
preferisce utilizzare l'interfaccia testuale per la
@@ -4224,7 +4690,7 @@ mutt -f imap://nome_utente@piffa.net
Per mettere a disposizione degli utenti un client web
per gestire la propria posta si installi il pacchetto:
@@ -4250,7 +4716,7 @@ ln -s /etc/squirrelmail/apache.conf ./squirrelmail.conf
Il graylisting e' un sistema relativamente poco
invasivo, con un limitato consumo di risorse per limitare
@@ -4277,7 +4743,7 @@ ln -s /etc/squirrelmail/apache.conf ./squirrelmail.conf
Installare il pacchetto:
Inviando un messaggio il client dovrebbe ricevere un
iniziale messaggio di rifiuto del messaggio: E' sempre utile poter tracciare qualche statistica
sulle percentuali di messaggi ricevuti, da chi, messaggi
@@ -4362,24 +4828,24 @@ pflogsumm.pl /var/log/mail.log
In Informatica, nell'ambito delle reti di computer, un
firewall (termine inglese dal significato originario di
parete refrattaria, muro tagliafuoco, muro ignifugo; in
italiano anche parafuoco o parafiamma) e' un componente
- passivo di difesa perimetrale che puo'ò anche svolgere
- funzioni di collegamento tra due o piu' tronconi di rete.
- Usualmente la rete viene divisa in due sotto reti: una, detta
- esterna, comprende l'intera Internet mentre l'altra interna,
- detta LAN (Local Area Network), comprende una sezione piu' o
- meno grande di un insieme di computer locali. In alcuni casi
- e' possibile che si crei l'esigenza di creare una terza sotto
+ passivo di difesa perimetrale che puo anche svolgere funzioni
+ di collegamento tra due o piu' tronconi di rete. Usualmente
+ la rete viene divisa in due sotto reti: una, detta esterna,
+ comprende l'intera Internet mentre l'altra interna, detta LAN
+ (Local Area Network), comprende una sezione piu' o meno
+ grande di un insieme di computer locali. In alcuni casi e'
+ possibile che si crei l'esigenza di creare una terza sotto
rete detta DMZ (o zona demilitarizzata) atta a contenere quei
sistemi che devono essere isolati dalla rete interna ma
devono comunque essere protetti dal firewall. Una prima definizione chiusa di firewall è la
+ Una prima definizione chiusa di firewall e' la
seguente: Apparato di rete hardware o software che filtra tutti i
@@ -4387,17 +4853,17 @@ pflogsumm.pl /var/log/mail.log
computer, applicando regole che contribuiscono alla sicurezza
della stessa. In realta'à un firewall puo'ò essere realizzato con
- un normale computer (con almeno due schede di rete e software
- apposito), puo'ò essere una funzione inclusa in un router o
- puo'ò essere un apparato specializzato. Esistono inoltre i
+ In realta' un firewall puo' essere realizzato con un
+ normale computer (con almeno due schede di rete e software
+ apposito), puo' essere una funzione inclusa in un router o
+ puo' essere un apparato specializzato. Esistono inoltre i
cosiddetti "firewall personali", che sono programmi
installati sui normali calcolatori, che filtrano solamente i
pacchetti che entrano ed escono da quel calcolatore; in tal
caso viene utilizzata una sola scheda di rete. La funzionalita'à principale in sostanza è quella
- di creare un filtro sulle connessioni entranti ed uscenti, in
+ La funzionalita' principale in sostanza e' quella di
+ creare un filtro sulle connessioni entranti ed uscenti, in
questo modo il dispositivo innalza il livello di sicurezza
della rete e permette sia agli utenti interni che a quelli
esterni di operare nel massimo della sicurezza. Il firewall
@@ -4405,14 +4871,14 @@ pflogsumm.pl /var/log/mail.log
potendo eseguire su di essi operazioni di: controllo modifica
monitoraggio Questo grazie alla sua capacita'Ã di "aprire" il
- pacchetto IP per leggere le informazioni presenti sul suo
- header, e in alcuni casi anche di effettuare verifiche sul
- contenuto del pacchetto. Questo grazie alla sua capacita' di "aprire" il pacchetto
+ IP per leggere le informazioni presenti sul suo header, e in
+ alcuni casi anche di effettuare verifiche sul contenuto del
+ pacchetto. Link:
@@ -4462,7 +4928,7 @@ pflogsumm.pl /var/log/mail.log
Per implementare un firewall bisogna decidere un aio di
@@ -4471,7 +4937,7 @@ pflogsumm.pl /var/log/mail.log
DMZ e MZ, internet, intranet, extranet. Frammentazione
della rete, decidere se diversi reparti di una azienda si
@@ -4503,7 +4969,8 @@ pflogsumm.pl /var/log/mail.log
Drop o Accept: conseguenze per sicurezza, facilita' di
gestione. Sostanzialmente potremmo distinguere due tipologie di
hardware: link:
Iptables lavora su 3 tabelle (tables) di default: Ogni tabella ha delle catene (chains) predefinite
(INPUT, OUTPUT, FORWARD ... ) a cui possono essere
- aggiunte catene custom. Ogni catena è composta da un
+ aggiunte catene custom. Ogni catena e' composta da un
elenco di regole (rules) che identificano pacchetti di
rete secondo criteri diversi (es: -p tcp --dport 80 -d
10.0.0.45) Ogni regola termina con una indicazione
@@ -4580,7 +5047,7 @@ pflogsumm.pl /var/log/mail.log
I Match di una regola (rule) servono a testare un
pacchetto per valutare se corrisponda a certe
@@ -4632,7 +5099,7 @@ pflogsumm.pl /var/log/mail.log
Se un pacchetto soddisfa le condizioni del Match
salta (jump) su uno dei target possibili, in
@@ -4715,7 +5182,7 @@ pflogsumm.pl /var/log/mail.log
"option">-j REDIRECT
E' quella implicita e predefinita (-t filter) Riguarda
- le attività di filtraggio del traffico. Ha 3 catene
- di default: INPUT - Riguarda tutti i pacchetti destinati al
+ le attivita' di filtraggio del traffico. Ha 3 catene di
+ default: INPUT - Riguarda tutti i pacchetti destinati al
sistema. In entrata da ogni interfaccia. OUTPUT - Riguarda
i pacchetti che sono originati dal sistema e destinati ad
uscire. FORWARD - Riguarda i pacchetti che attraversano il
@@ -4785,7 +5252,7 @@ pflogsumm.pl /var/log/mail.log
Se state provando una configurazione del firewall per
@@ -4812,11 +5279,11 @@ at> [CTR+d]
Il comando iptables viene usato per ogni
- attivita'Ã di gestione e configurazione. Il comando iptables viene usato per ogni attivita' di
+ gestione e configurazione. Inserimento regole: Il comando iptables serve per interagire con il
@@ -4937,7 +5404,7 @@ iface eth1 inet static
Per salvare le regole di iptables attualmente presenti
nel kernel si usi il comando: Per ripristinare un set di regole precedentemente
salvate con
Seguono alcuni esempi sull'uso di iptables, lo scenario
e' un computer con un paio di schede di rete fisiche una
@@ -5006,7 +5473,7 @@ iface eth1 inet static
Spesso gli script che attaccano
@@ -5022,7 +5489,7 @@ iptables -A INPUT -i ppp0 -p ICMP -j DROP
Per limitare attacchi di tipo brute force su SSH: iptables -A INPUT -i ppp0 -p tcp -m
- tcp --dport 22 -m state --state NEW -m recent
- --update --seconds 3000 --hitcount 4 --name DEFAULT
- --rsource -j DROP iptables -A INPUT -i ppp0 -p tcp -m
- tcp --dport 22 -m state --state NEW -m recent --set
- --name DEFAULT --rsource7.2 Passwords e
+ "#id78">7.2 Passwords e
autenticazione
7.3 Creazione Utenti
+ "#id79">7.3 Creazione Utenti
7.4 Creare la
+ "#id80">7.4 Creare la
condivisione
7.4.1 Sicurezza: permessi di
+ "#id81">7.4.1 Sicurezza: permessi di
esecuzione sul server
7.5 Configurazione
+ "#id82">7.5 Configurazione
dell'applicativo Samba vero e proprio.
7.5.1 Creazione di un
+ "#id83">7.5.1 Creazione di un
gruppo
7.6 Testare il Servizio
+ "#id84">7.6 Testare il Servizio
8 Server di posta: Postfix
+ "#id85">8 Server di posta: Postfix
8.1 Test del server smtp
+ "#id86">8.1 Test del server smtp
8.1.1 Swaks
+ "#id87">8.1.1 Swaks
8.2 Imap e pop
+ "#id88">8.2 Imap e pop
8.3 Client a riga di
+ "#id89">8.3 Client a riga di
comando
8.3.1 mailx
+ "#id90">8.3.1 mailx
8.3.2 Mutt
+ "#id91">8.3.2 Mutt
8.3.3 Web client
+ "#id92">8.3.3 Web client
8.4 Graylisting
+ "#id93">8.4 Graylisting
8.4.1 Abilitazione in
+ "#id94">8.4.1 Abilitazione in
Postfix
8.4.2 Test
+ "#id95">8.4.2 Test
8.4.3 Statistiche
+ "#id96">8.4.3 Statistiche
9 Firewall
+ "#id97">9 Firewall
9.1 Links
+ "#id98">9.1 Links
9.2 Ipfilter
+ "#id99">9.2 Ipfilter
9.3 Progettazione di un
+ "#id100">9.3 Progettazione di un
firewall
9.3.1 Collocazione
+ "#id101">9.3.1 Collocazione
9.3.2 Policy di default
+ "#id102">9.3.2 Policy di
+ default
9.3.3 Hardware
+ "#id103">9.3.3 Hardware
9.4 Percorso dei pacchetti tra
+ "#id104">9.4 Percorso dei pacchetti tra
tabelle e catene
9.5 Concetti di base
+ "#id105">9.5 Concetti di base
9.5.1 Tabelle, catene,
+ "#id106">9.5.1 Tabelle, catene,
regole
9.5.2 Match
+ "#id107">9.5.2 Match
9.5.3 Targets
+ "#id108">9.5.3 Targets
Redirige il pacchetto ad una porta locale.
- Usabile solo in nat / PREROUTING e nat / OUTPUT è
+ Usabile solo in nat / PREROUTING e nat / OUTPUT e'
previsto per fare un transparent proxy (con proxy
server in esecuzione sulla macchina con
iptables)
@@ -4726,9 +5193,9 @@ pflogsumm.pl /var/log/mail.log
"option">-j RETURN
Interrompe l'attraversamento della catena. Se
- questa è una secondaria, il pacchetto torna ad
+ questa e' una secondaria, il pacchetto torna ad
attraversare la catena madre da punto in cui aveva
- fatto il salto nella secondaria. Se il RETURN è in
+ fatto il salto nella secondaria. Se il RETURN e' in
una delle catene di default, il pacchetto
interrompe l'attraversamento e segue la policy di
default.
@@ -4749,7 +5216,7 @@ pflogsumm.pl /var/log/mail.log
"option">-j MIRROR
Curioso e sperimentale, questo target invia un
- pacchetto speculare al mittente. In pratica è come
+ pacchetto speculare al mittente. In pratica e' come
se facesse da specchio per tutti i pacchetti
ricevuti. Da usare con cautela, per evitare
attacchi DOS indiretti.
@@ -4761,11 +5228,11 @@ pflogsumm.pl /var/log/mail.log
9.6 Tabella Filter
+ "#id109">9.6 Tabella Filter
9.7 Flush automatico per macchine
+ "#id110">9.7 Flush automatico per macchine
remote
9.8 Gestione regole
+ "#id111">9.8 Gestione regole
(rules)
- 9.9 Salvataggio regole
+ "#id112">9.9 Salvataggio regole
9.9.1 Iptables-save
+ "#id113">9.9.1 Iptables-save
9.9.2 Iptables-restore
+ "#id114">9.9.2 Iptables-restore
9.10 Esempi
+ "#id115">9.10 Esempi
9.10.1 Bloccare i ping
+ "#id116">9.10.1 Bloccare i ping
dall'esterno
9.10.2 Masquerading
+ "#id117">9.10.2 Masquerading
(sNAT)
@@ -5071,30 +5538,21 @@ iptables -A INPUT -i ppp0 -p ICMP -j DROP
9.10.3 Brute force
+ "#id118">9.10.3 Brute force
-
-
+iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
+
+iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 3000 --hitcount 4 --name DEFAULT --rsource -j DROP
-
10 NOTE
+ "#id119">10 NOTE