X-Git-Url: http://git.piffa.net/web?a=blobdiff_plain;f=servizi.html;h=e9cbe22309b7fdd61956a8b903a475ee2217315e;hb=b0800c5dfddfedcd70ab9571c6344ebabb346bc6;hp=5880af30e9753ec5a7e3788c475cb7d266d13052;hpb=f951de09f5f91256174f2aeeea20d6bf1faa2e57;p=doc%2F.git diff --git a/servizi.html b/servizi.html index 5880af3..e9cbe22 100644 --- a/servizi.html +++ b/servizi.html @@ -10,289 +10,236 @@ -
Impostazioni di base per la configurazione del sistema operativo e della rete nel laboratorio 208 facente parte @@ -576,19 +755,26 @@
Qui riportati per comodita' degli studenti (e del docente che non sara' mai piu' costretto a - ripeterli! )
+ ripeterli continuamente! ). Gli altri lettori potranno + tenerli presenti per cercare di comprendere gli esempi nel + testo. Ad esempio: quando leggerete 10.10.208.254:3128 saprete che si tratta + del nostro proxy http, stara' quindi a voi + sostituire i dati con gli ip della vostra + rete.Parametri della rete attualmente in uso:
10.10.208.250 persistente | + +|
proxy http | + +10.10.208.254:3128 | +
Segue un esempio del file di configurazione della + scheda di rete con configurazione statica:
+ +/etc/network/interfaces:
++# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) + +# The loopback interface +iface lo inet loopback + +# La prima scheda di rete (se si chiama eth0) +# (network, broadcast and gateway sono optional) +iface etho inet static + # esempio con dhcp + # iface etho inet dhcp +address 212.22.136.101 +netmask 255.255.255.0 +network 212.22.136.0 +broadcast 212.22.136.255 +gateway 212.22.136.254 + +# Quali interfaccie devono partire automaticamente: +auto lo eth0 ++ +
Controllare il nome della propia scheda di rete: a + volte udev rinomina la prima scheda a eth1, + oppure potreste avere piu' di una scheda di rete (anche + un'interfaccia firewire puo' essere + automaticamente abilitata come scheda di rete).
+ +Se si usano schede di rete virtuali ( eth0:1 + , eth0:1 , ...) ricordarsi che queste dipendono dalla + scheda fisica a cui sono associate: abbattere con + ifconfig down + eth0 la scheda principale + fara' cadere anche queste. Tornando ad attivare la schda + principale con ifconfig eth0 + up la virtuale tornera' + attiva: nel caso voleste disabilitarla dovrete quindi + sempre abbattere manualmente la scheda virtuale + prima della scheda reale.
+Il completamento automatico della shell (che si attiva premendo il tasto tab una o due volte mentre si sta @@ -736,7 +981,7 @@ umask 022
Vim e' l'editor di testo preferito dai sistemisti, quindi sara' conveniente impostare fin da subito alcune @@ -811,7 +1056,7 @@ e modificare il file di configurazione generale ``/etc/vim/vimrc`` ::
I Virtual Network Computing (o VNC) sono software di controllo remoto e servono per amministrare il proprio @@ -869,7 +1114,7 @@ exit
I pacchetti installati generalmente
1.7 Apt configurazione
+ "#id14">1.7 Apt configurazione
Vediamo i due file principali di apt:
@@ -922,7 +1167,7 @@ kde-core kdm kde-i18n-it xorg vim less xtightvncviewerQuesto file contiene i sorgenti da cui apt preleva i pacchetti da installare tramite dpkg, @@ -987,12 +1232,12 @@ deb-src http://volatile.debian.org/debian-volatile Lenny/volatile main
Questo file contiene le opzioni di apt, come ad esempio il proxy:
-Acquire::http::Proxy "http://10.10.208.254:3128" +Acquire::http::Proxy "http://10.10.208.254:3128";
Si tenga conto che se si imposta un proxy per apt sul @@ -1005,68 +1250,499 @@ Acquire::http::Proxy "http://10.10.208.254:3128"
Squid e' un proxy cache http (ma anche FTP e https) + robusto e strutturato, puo' essere usato sia in reti + relativamente piccole grazie alla semplicita' di + configurazione che in scenari piu' complessi grazie alla + possibilita' di gestirne in modo granulare le risorse + partendo dalle configurazioni piu' semplici per la semplice + condivisione della navigazione internet, la gestione + degli accessi, il filtraggio dei contenuti (Squid e' una + applicazione che si muove nel 4' livello del modello TCP/IP a + differenza di un ipfilter limitato al 2') nel l + bilanciamento del carico tra piu' hosts.
+ +Cosa a volte sottovalutata, squid permette la navigazione + web a una rete basata su indirizzi ip privati (es + una 192.168.0.0/24). E se la rete privata deve solo + navigare in internet, non serve un NAT od + altro, basta il solo Squid. Per altro non servira' neanche un + servizio DNS dato che sara' il solo squid a risolvere i + nomi di dominio per i suoi client http.
+ +Squid ascolta di default sulla porta 3128, per impostare + apt per utilizzarlo si aggiunga ad /etc/apt/apt.conf
++Acquire::http::Proxy "10.10.208.254:3128"; +-
Per installare Squid si usino i pacchetti:
++squid3 +-
Apache HTTP Server, o più comunemente Apache, e' il nome - dato alla piattaforma server Web modulare più diffusa (ma - anche al gruppo di lavoro open source che ha creato, - sviluppato e aggiornato il software server), in grado di - operare da sistemi operativi UNIX-Linux e Microsoft.
+Un server web e' un processo, e per estensione il computer - su cui è in esecuzione, che si occupa di fornire, su - richiesta del browser, una pagina web (spesso scritta in - HTML). Le informazioni inviate dal server web viaggiano in - rete trasportate dal protocollo HTTP. L'insieme di server web - dà vita al World Wide Web, uno dei servizi più - utilizzati di Internet.
+Segue un estratto delle direttive principali viste in + aula presenti nel file di configurazione /etc/squid3/squid.conf .
-Cache dir serve per impostare dimensione e percorso + della cache creata sul supporto di storaggio. Essendo la + dimensione di default della cache pari a ~100 + MB e' altamente + consigliabili aumentare questo parametro se si vuole + poter utilizzare la funzione di cache http del + software.
+ +La dimensione ovviamente dipendera' dallo spazio + disponibile, dimensioni tipiche e massime degli oggetti + che si vuole tenere in cache (un solo file .iso e' + circa ``700 MB``, il pacchetto *Openoffice.org cira + 150 + MB, un pacchetto debian + circa 20 MB), numero + dei client.
+ +Si presti poi attenzione alla natura dei dati che + saranno salvati nella cache: sono tutti dati facilmenti + sostituibili (gli originali sono on-line) la cui + perdita non arreca danni permanenti. Questo rende la + cache di Squid un possibile candidato ad un RAID + stripe (livello 0), con vantaggi sia per le + prestazioni (e la velocita' di navigazione e' uno dei + motivi per cui si installa Squid) che per l'utilizzo + estensivo dello spazio di storaggio. Questo fino al + momento in cui per voi non sia piu' importante + garantire la disponibilita' del servizio (se il + RAID stripe dovesse rompersi gli utenti non potrebbero + piu' navigare, cosa che per natura dello stripe e' + maggiormente probabile rispetto ad un mirror o a + un filesytem normale) con un RAID mirror o + 5.
+ +Altra considerazione: i dati del proxy vengono slavati + sul filesytem del server dietro richiesta di utenti + esterni talvolta sconosciuti. Come per i servizi di file + sharing o per la posta elettronica non c'e' motivo che il + filesystem su cui sono ospitati questi dati abbia i + privilegi di eseguibilita' o suid (in genere si puo' + anche usare noatime per renderlo piu' veloce, + che si usi o meno il journal dipende dalle preferenze: + affidabilita' oppure prestazioni):
+ +/etc/fstab
++... +# Filesystem per Squid http cache +/dev/md3/ /var/spool/squid/ ext3,noexec,nosuid,noatime 0 3 +-
- apache2 apache2-doc -+
Ora possiamo impostare la cache direttamente nel file + /etc/squid3/squid.conf:
++#TAG: cache_dir (riga 1628) +# Usage: +# +# cache_dir Type Directory-Name Fs-specific-data [options] +# +# You can specify multiple cache_dir lines to spread the +# cache among different disk partitions. +# ... +#Default: +# cache_dir ufs /var/spool/squid3 100 16 256 +cache_dir aufs /var/spool/squid3 300 24 256 +# algoritmo +# path della cache +# dimensione in MB +# directory primo livello +# secondo livello di directory +-
Con la release 2.0 di Apache viene automaticamente resa - disponibile anche la versione SSL (Secure Socket Layer, - cpnnessioni criptate ) del web server.
-Se si modifica la struttura del filesytem della cache + di Squid, ad esempio variando il numero delle directory, + puo' essere opportuno rigenerare la struttura della cache + di squid (per lo meno se si aumenta il numero + delle directory di primo o secondo livello). Tipicamente + e' consigliabile cancellare (se si ha ridotto il + numero delle diectory) la vecchia cache e poi generare + una nuova struttura. Se si vuole star nel sicuro + ogni volta che si modifica l'impostazione delle directory + si svuoti la vecchia cache e se ne generi una + nuova
++# /etc/init.d/squid3 stop +# rm -r /var/spool/squid3/?? +# squid3 -z +# /etc/init.d/squid3 start ++
I file di configurazione di apache si trovano nella - cartella: /etc/apache2 e sono strutturati come - descritto nel file /usr/share/doc/apache2/README.Debian.gz - . Sostanzialmente lo schema e' il seguente:
+Questa direttiva imposta la dimensione massima degli + oggetti che vengono slvati sul supporto di storaggio, + oggetti di dimensioni superiori saranno comunque + scaricati ma non tenuti in cache.
-TAG: maximum_object_size (1760):
++# TAG: maximum_object_size (1760) +# Objects larger than this size will NOT be saved on disk. The +# value is specified in kilobytes, and the default is 4MB. If +# you wish to get a high BYTES hit ratio, you should probably +# increase this (one 32 MB object hit counts for 3200 10KB +# hits). If you wish to increase speed more than your want to +# save bandwidth you should leave this low. +# +# NOTE: if using the LFUDA replacement policy you should increase +# this value to maximize the byte hit rate improvement of LFUDA! +# See replacement_policy below for a discussion of this policy. +# +#Default: +# maximum_object_size 4096 KB +maximum_object_size 150 MB ++
File di configurazione principale del - servizio.
+Cache_mem imposta quanta memoria RAM venga + utilizzata per la cache di Squid. Questo dipendera' dalla + RAM disponibile sul sistema, e da quanta di questa volete + mettere a disposizione di Squid (altri servizi + iimportanti girano sulla stessa macchina?). Questo + paramentro influisce sulle prestazioni e sul degrado dei + supporti di storaggio (sopratutto se magnetici).
+ +Se si stesse pensando di usare dell'hardware + embedded a basse prestazioni / consumo per + realizzare un server gateway / NAT / Squid si tenga + presente che Squid e' relativamente esoso di risorse: + avra' bisogno di una macchina con ~25MB + (MegaByte) di RAM e ~150MHZ di CPU ARM per + servire decorosamente una decina di client http su una + rete ethernet 10/100. In questo caso non fate scendere + cache_mem sotto i 2/4 + MB pena un accesso continuo + al supporto di storaggio.
-httpd.conf e' il vecchio file di - configurazione di Apache1, presente per motivi di - retrocompatibilita' e' generalemente vuoto.
- +Se invece si disponesse di una macchina dedicata a + Squid con gigabytes di RAM non si esiti a dedicarne buona + parte a cache_mem.
-TAG: cache_mem (1566):
++# 'cache_mem' specifies the ideal amount of memory to be used +# for: +# * In-Transit objects +# * Hot Objects +# * Negative-Cached objects +#Default: +# cache_mem 8 M +cache_mem 100 M ++
Questo parametro imposta la dimensione minima degli + oggetti salvati nella cache. Settato a 0 o a + valori molto piccoli puo' influire negativamente sulla + deframmentazione del filesytem e consumare un numero + elevato di inode (cosa non piu' importante con + ext4 o altri filesytem).
+ +TAG: minimum_object_size:
++# TAG: minimum_object_size (bytes) +# Objects smaller than this size will NOT be saved on disk. The +# value is specified in kilobytes, and the default is 0 KB, which +# means there is no minimum. +# +#Default: +# minimum_object_size 0 KB +minimum_object_size 0 KB ++
Squid e' uno di quei servizi soggetto a problemi di tipo + open relay , si deve quindi limitare la rete che + puo' accedere al servizio.
+ +Generalmente non volete che il vostro proxy http venga + usato da persone sconosciute le quali sostanzialmente + navigherebbero sotto l'identita' del vostro proxy + (probabilmente per visionare materiali che non vorrebbero + fossero ricondotti direttamente a loro, per motivi che sta + a voi prendere in considerazione) consumando traffico e + banda della vostra connessione a internet. Tenere Squid in + modalita' Open relay e' al giorno d'oggi un buon + modo per essere inseriti in una black list.
+ +Per poter limitare gli accessi a Squid dal punto di + vista dell'applicazione (quarto livello TCP/IP) si + identifichera' inizialmente l'entita' rete locale + (es: localnet) con una ACL di tipo + src (indirizi IP sorgenti) indicando la classe + / range di ip della nostra rete.
+ ++ Dopodiche l'accesso (http_access) si concedera' + (allow) a questa entita' (es: localnet) negando chiunque altro. ++ +
Per maggiori dettagli sulla sintassi utilizzabile per + esprimere i range di ip: + http://www.visolve.com/squid/squid24s1/access_controls.php
+ +Si proceda a creare una ACL di + tipo src per identificare la lostra rete + locale, poi si abiliti l'accesso a questa con la + direttiva http_access. Tutto quanto non e' + espressamente autorizzato viene poi negato da un + http_access deny + all finale.
++# TAG: acl +# Defining an Access List +# +# Every access list definition must begin with an aclname and acltype, +# followed by either type-specific arguments or a quoted filename that +# they are read from. +# ... +# ***** ACL TYPES AVAILABLE ***** +# +# acl aclname src ip-address/netmask ... # clients IP address +# riga 588 + +# Example rule allowing access from your local networks. +# Adapt to list your (internal) IP networks from where browsing +# should be allowed +#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network +#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network +#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network +# +acl localnet src 10.10.208.0/24 + +# Riga 606 +# TAG: http_access +# Allowing or Denying access based on defined access lists +# +# Access to the HTTP port: +# http_access allow|deny [!]aclname ... +# +# NOTE on default values: +# +# If there are no "access" lines present, the default is to deny +# the request. + +# Riga 643 +# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS + +# Example rule allowing access from your local networks. +# Adapt localnet in the ACL section to list your (internal) IP networks +# from where browsing should be allowed +#http_access allow localnet +http_access allow localnet ++
Configurato squid e' fondamentale testarne il corretto + funzionamento per assicurarsi di non aver creato un + open-relay. Per fare dei test significativi serve + utilizzare degli host remoti: ci si connetta via ssh a + questi per poi utilizzare wget da + riga di comando.
+ +Nel file .wgetrc (si noti il punto iniziale: e' + un file nascosto) si puo' impostare il proxy per wget. Si + utililizzi l'indirizzo ip del server che si vuole + testare, e si seguano i log /var/log/squid3/access.log sul + server.
+ +Da notare che la prova va' fatta su una macchina della + rete che si vuole testare, non da localhost. Per + altro se si utilizzasse direttamente localhost non si testerebbe la + ACL predisposta, dato che si si rientrerebbe + nella ACL (pre-configurata di default) localhost.
+ +Si proceda a scaricare dal client scelto con un + wget:
++wget http://www.google.it ++
Si puo' controllare il corretto funzionamento del + server seguendo i log di accesso a Squid:
++# tail -f /var/log/squid3/access.log ++ +
In oltre e' possibile configurare diversi + analizzatori di log come Webalizer per studiare i log di + Squid.
+Apache HTTP Server, o piu' comunemente Apache, e' il nome + dato alla piattaforma server Web modulare piu' diffusa (ma + anche al gruppo di lavoro open source che ha creato, + sviluppato e aggiornato il software server), in grado di + operare da sistemi operativi UNIX-Linux e Microsoft.
+ +Un server web e' un processo, e per estensione il computer + su cui e' in esecuzione, che si occupa di fornire, su + richiesta del browser, una pagina web (spesso scritta in + HTML). Le informazioni inviate dal server web viaggiano in + rete trasportate dal protocollo HTTP. L'insieme di server web + dà vita al World Wide Web, uno dei servizi piu' + utilizzati di Internet.
+ ++ apache2 apache2-doc ++ +
Con la release 2.0 di Apache viene automaticamente resa + disponibile anche la versione SSL (Secure Socket Layer, + cpnnessioni criptate ) del web server.
+I file di configurazione di apache si trovano nella + cartella: /etc/apache2 e sono strutturati come + descritto nel file /usr/share/doc/apache2/README.Debian.gz + . Sostanzialmente lo schema e' il seguente:
+ +File di configurazione principale del + servizio.
+ +httpd.conf e' il vecchio file di + configurazione di Apache1, presente per motivi di + retrocompatibilita' e' generalemente vuoto.
+File di configurazione del servizio Apache, contiene le impostazioni generiche (ad esempio utilizzo della RAM e @@ -1158,7 +1834,7 @@ Acquire::http::Proxy "http://10.10.208.254:3128"
Pacchetti da installare: php5
@@ -1166,7 +1842,7 @@ Acquire::http::Proxy "http://10.10.208.254:3128"
Creare nella cartella
Installare i pacchetti: L'interfaccia web Phpmyadmin non richede
necessariamente la presenza di un database Mysql locale,
@@ -1238,7 +1914,7 @@ php5-mysql phpmyadmin
Installare i pacchetti: L'interfaccia web Phppgadmin per il database server
PostgreSQL non richede necessariamente la presenza di un
@@ -1280,7 +1956,7 @@ php5-pgsql phppgadmin
Prima di tutto per poter impostare i virtual hosts
dovete avere un server DNS che risolva i vostri nomi di
@@ -1404,7 +2080,7 @@ php5-pgsql phppgadmin
Esempio di Virtual host: Tipicamente quando si installa un server web il proprio
desiderio e' di dare accesso ai materiali disponibili al
@@ -1529,7 +2205,7 @@ php5-pgsql phppgadmin
La forma piu' semplice di restrizine degli accessi e'
su base degli indirizzi IP dei client: tipicamente i siti
@@ -1537,8 +2213,10 @@ php5-pgsql phppgadmin
A volte conviene negoziare gli accessi ad un area di un
+ sito tramite autenticazione basata sull'accopiata nome
+ utente / password. Questo puo' venire utile per creare
+ una area download intranet, alla quale possano
+ accedere solo gli utenti previsti a prescindere dagli
+ indirizzi IP dei loro client. Per quanto esistano soluzioni
+ piu' granulari e sofisticate per ottenere questo,
+ mod-auth puo'essere sufficente. E mod auth non
+ richiede l'installazione di software aggiuntivi. link: http://www.apacheweek.com/features/userauth Decidere quale sara' il path della cartella
+ da sottoporre ad autentizazione:(e creiamo la
+ cartella): Un modo semplice per gestire una database di
+ user-id / passwords e' utilizzare l'utility
+ htpasswd di Apache. Questa crea un file
+ in cui un crypt delle password viene associato
+ agli utenti. Si dovra' decidere dove tenere questo file, la cosa
+ importante e' che non sia visibile nel sito web: non deve
+ essere scaricabile dai visitatori. Deve essere cioe'
+ all'esterno della DocumentRoot: un buon posto
+ potrebbe essere la /home dell'utente. Creiamo (con il flag -c) il
+ file /home/utente/passwords con l'utente
+ luca: htpasswd ci chedera' la password da
+ associare all'utente luca.
+ Per sucessive modifiche della password o aggiunta di
+ nuovi utenti non sara' necessario usare il flag
+ -c. A volte conviene negoziare gli accessi ad un area di
- un sito tramite autenticazione basata sull'accopiata
- nome utente / password. Questo puo' venire utile
- per creare una area download intranet, alla
- quale possano accedere solo gli utenti previsti a
- prescindere dagli indirizzi IP dei loro client. Per
- quanto esistano soluzioni piu' granulari e sofisticate
- per ottenere questo, mod-auth puo'essere
- sufficente. E mod auth non richiede l'installazione di
- software aggiuntivi. link: http://www.apacheweek.com/features/userauth Ora possiamo passare alla configurazione vera e
+ propria di Apache, ma con una novita': andremo a inserire
+ la voce in un .htaccess invece che modificare il file
+ di impostazione del virtual-host. Questo per motivi pratici: solo l'utente root
+ puo' modificare l'impostazione del virtual host nel file
+ /etc/apache2/sites-enabled/177.piffa.net,
+ ma spesso il motivo per cui creiamo i virtual hosts e'
+ ospitare i siti di altri utenti, che possono solo
+ pubblicare (generalmente tramite FTP) i loro
+ documenti nella loro DocumentRoot, senza poter
+ quindi modificare in alcun modo la configurazione del
+ virtual host. Dando agli utenti la possibilita' di modificare
+ (AllowOverride) autonomamente alcuni parametri
+ (in questo caso solo l'AuthConfig) relativi al
+ funzionamenteo del loro spazio web ci togliera'
+ l'incombenza di dover intervenire suii vari virtual
+ host. Abilitiamo l'AllowOverride nel file di configurazione
+ del virtual host per la sola directory privata: Per rendere il cambiamento effettivo sara' necessario
+ fare un restart / reload di Apache. Ora sara' possibile, anche per l'utente di sistema,
+ creare un fie .htaccess che sara' onorato da
+ Apache. /var/www/177.piffa.net/privata/.htaccess Si noti che non e' necessario fare ripartire Apache
+ per onorare i cambiamenti (un utente non avrebbe la
+ possibilita' di farlo!). Problemi di cache: Domain Name System (spesso indicato con DNS) è un
+ Domain Name System (spesso indicato con DNS) e' un
servizio utilizzato per la risoluzione di nomi di host in
- indirizzi IP e viceversa. Il servizio è realizzato tramite
+ indirizzi IP e viceversa. Il servizio e' realizzato tramite
un database distribuito, costituito dai server DNS. Il nome DNS denota anche il protocollo che regola il
@@ -1638,41 +2445,41 @@ php5-pgsql phppgadmin
cooperano per fornire il servizio. I nomi DNS, o "nomi di dominio", sono una delle
- caratteristiche più visibili di Internet. C'è confusione in merito alla definizione dell'acronimo:
+ C'e' confusione in merito alla definizione dell'acronimo:
la S spesso viene interpretata come service, ma la
- definizione corretta è system. L'operazione di convertire un nome in un indirizzo è
- detta risoluzione DNS, convertire un indirizzo IP in nome è
+ L'operazione di convertire un nome in un indirizzo e'
+ detta risoluzione DNS, convertire un indirizzo IP in nome e'
detto risoluzione inversa. Un nome a dominio è costituito da una serie di stringhe
+ Un nome a dominio e' costituito da una serie di stringhe
separate da punti, ad esempio it.wikipedia.org. A
- differenza degli indirizzi IP, dove la parte più
- importante del numero è la prima partendo da sinistra, in
- un nome DNS la parte più importante è la prima partendo
- da destra. Questa è detta dominio di primo livello (o TLD,
+ differenza degli indirizzi IP, dove la parte piu'
+ importante del numero e' la prima partendo da sinistra, in
+ un nome DNS la parte piu' importante e' la prima partendo
+ da destra. Questa e' detta dominio di primo livello (o TLD,
Top Level Domain), per esempio .org o .it. Un dominio di secondo livello consiste in due parti, per
- esempio wikipedia.org, e così via. Ogni ulteriore elemento
+ esempio wikipedia.org, e cosi' via. Ogni ulteriore elemento
specifica un'ulteriore suddivisione. Quando un dominio di
secondo livello viene registrato all'assegnatario, questo
- è autorizzato a usare i nomi di dominio relativi ai
+ e' autorizzato a usare i nomi di dominio relativi ai
successivi livelli come it.wikipedia.org (dominio di terzo
livello) e altri come some.other.stuff.wikipedia.org
- (dominio di quinto livello) e così via. Ad un nome DNS possono corrispondere diversi tipi di
informazioni. Per questo motivo, esistono diversi tipi di
@@ -1681,7 +2488,7 @@ php5-pgsql phppgadmin
I computer vengono identificati in rete grazie agli
indirizzi IP, questi pero' non sono comodi per gli
@@ -1744,7 +2551,7 @@ PING www.l.google.com (74.125.43.104) 56(84) bytes of data.
Ci sono vari strumenti per interrogare i server DNS e
@@ -1809,7 +2616,7 @@ ns4.mydomain.com. 96208 IN A 63.251.83.74
Vediamo alcune opzioni utili nell'utilizzo di dig per
@@ -1881,12 +2688,160 @@ l.google.com. 80856 IN NS g.l.google.com.
... Il file /etc/resolv.conf contiene le impostazioni
+ sul dns usato dal sistema, in genere anche altre
+ applicazioni che devono effettuare query DNS leggono
+ resolv.conf per conoscere l'ubicazione del DNS. /etc/resolv.conf: Si veda anche la pagina man di resolv.conf. Attenzione: se si usa un client DHCP o simile questo
+ file potra' essere riscritto automaticamente in base a
+ quanto ottenuto dal DHCP. Si veda la documentazione del
+ pacchtto resolvconf. Tabella statica per l'associazione tra IP e nomi di
+ dominio: Il contenuto e' un associazione tra un IP e
+ stringhe di testo (anche piu' di una es: mirror e
+ mirror.piffa.net), un record per
+ riga. Il problema e' la gestione di questo file: quando gli
+ host cambiano IP si devono aggiornare i records, e c'e' poi
+ il problema di distribuire questo file tra i vari hosts
+ della propia LAN. Un metodo semplice per distribuire questo
+ file e' utilizzare Dnsmasq:
+ questo infatti legge e onora il file hosts
+ locale e lo distribuisce ai clients. Modificare (riconducendola a un ip interno, cosi'
+ annullandola) la risoluzione di un nome di dominio e' un
+ modo drastico e funzionale per annullarlo
+ rendendolo indisponibile alla propia rete locale, ad
+ esempio aggiungere al file /etc/hosts: Impedira' agli utenti della LAN di raggiungere
+ facebook, ora reindirizzato a i``localhost``. Ogni computer ha un propio nome visualizzabile
+ (e modificabile) con il comando hostname. Per modificare in modo permanente il nome del computer
+ si modifichi il contenuto del file /etc/hostname. Tipicamente si vuole mantenere una correlazione tra il
+ nome dell'host, o meglio la stringa con cui il server si
+ qualifica all'esterno, e il PTR dell'ip. Nel caso
+ di servizi virtuali ci sara' un nome
+ server principale associato al PTR condiviso.
+ Non e' automatico che un servizio, ad esempio un server di
+ posta, si qualifichi leggendo il contenuto di questo file e
+ magari aggiungendo come suffisso il dominio di cui fa parte
+ l'host: a volte questo parametro puo' essere specificato
+ nel file di configurazione del servizio: Dnsmasq puo' svolgere le funzioni di un DNS cache /
forwarder e un server DHCP caratterizzato dalla facilita' di
@@ -1921,11 +2876,136 @@ l.google.com. 80856 IN NS g.l.google.com.
Molto utile per scopi didattici, sopratutto per testare
server SMTP impostando al volo i campi MX per nomi di dominio
fittizi. Vediamo alcune direttive di basi del file di
+ configurazione /etc/dnsmasq.conf utili per la
+ configurazione sia del DNS cache che per il DHCP
+ server: Per attivare il demone DHCP di dnsmaq basta aggiungere
+ al file di configurazione il range degli ip che si
+ vuole assegnare ai client con il lease time (tempo
+ di rilascio: quanto a lungo saranno validi gli ip
+ assegnati) espresso in ore. Si faccia attenzione: in una rete puo' esseere
+ presente un solo server DHCP, o per meglio
+ dire qualunque server DHCP ascolta sul broadcast 255.255.255.255 e potrebbe rispondere a
+ un pacchetto di richesta DHCP. Quindi non fate partire
+ inavvertitamente un server DHCP in una rete gia' servita e
+ non vi azzardate ad andare in giro con un portatile
+ con un server DHCP attivo nelle reti altrui.
+ Questo vale anche per i laboratori di informatica dei corsi
+ di reti: non fate partire il vostro server DHCP se siete
+ collegati alla rete interna! /etc/dnsmasq.conf (riga 118): Aggiungere al file /etc/resolv.conif il nameserver localhost
+ in cima alla lista dei nameserver disponibili.
+ Dnsmasq usera' la propia cache e in caso non abbia
+ disponibile il record DNS richiesto fara' partire
+ una query al primo DNS: Questo pero' potrebbe essere problematico se un altro
+ servizio, ad esempio il DHCP client, riscrive il contenuto
+ del file /etc/resolv.conf. Per superare il
+ problema si aggiunga (riga 20) al file di configurazione
+ /etc/dhcp3/dhclient.conf Oppure potrebbe essere il nostro PPP client
+ (per la connessione ADSL) a intervenire sul file //etc/resolv.conf, si modifichi quindi
+ /etc/ppp/peers/dsl-provider commentando
+ usepeerdns. Se la vostra connessione ad
+ internet e' ADSL raramente dovreste aver bisogno di
+ cambiare i DNS una volta impostati (a meno che non usiate
+ un portatile!). Dnsmasq puo' lavorare anche come DHCP server per la
+ vostra LAN. Samba e' un progetto libero che fornisce servizi di
condivisione di file e stampanti a client SMB/CIFS. Pacchetti da installare per utilizzare Samba in
- modalita' client [2] Per poter configurare Samba in modo che usi un sistema
@@ -2060,7 +3140,7 @@ dpkg-reconfigure samba-common
Creiamo per primo l'utente sotto GNU/Linux, facendo
attenzione a non dargli una shell di sistema. Gli
@@ -2097,7 +3177,7 @@ smbpasswd sambo
La condivisione altro non e' che una cartella sul server
@@ -2124,7 +3204,7 @@ smbpasswd sambo
Bisognerebbe notare sul server i permessi di
@@ -2154,7 +3234,7 @@ smbpasswd sambo
Avendo preparato gli utenti (ancora una volta: non si
@@ -2194,7 +3274,7 @@ smbpasswd sambo
Come testare il servizio Il server di posta che prenderemo in considerazione e'
+ Postfix, a seguire un estratto di un file do configurazione
+ semplie con l'abilizazione delle Maildir
+ nelle /home degli utenti per la consegna della
+ posta: /etc/postfix/main.cf: Postfix e' un server SMTP, di conseguenza se volete che
+ i vostri utenti possano scaricare in locale la
+ posta generalemtne volete mettere a loro disposizione un
+ server POP3 o ancora meglio IMAP. Oppure
+ entrambi. i noti che IMAP necessita delle Maildir, non funziona
+ con le Mailbox in /var/mail/ . Per mettere a disposizione degli utenti un client web
+ per gestire la propia posta si installi il pacchetto:
+ squirrelmail . Ci sono tanti altri
+ client web disponibili: questo e' particolarmente
+ semplice. Naturalemte dovrete aver installato: php5
+ apache2 . L'interfaccia dovrebbe essere disponibile all'url:
+ http://localhost/squirrelmail . Se
+ cosi' non fosse assicuratevi che Apache abbia incluso il
+ file di configurazione di squirrelmail: In Informatica, nell'ambito delle reti di computer, un
+ firewall (termine inglese dal significato originario di
+ parete refrattaria, muro tagliafuoco, muro ignifugo; in
+ italiano anche parafuoco o parafiamma) e' un componente
+ passivo di difesa perimetrale che può anche svolgere
+ funzioni di collegamento tra due o piu' tronconi di rete.
+ Usualmente la rete viene divisa in due sottoreti: una, detta
+ esterna, comprende l'intera Internet mentre l'altra interna,
+ detta LAN (Local Area Network), comprende una sezione piu' o
+ meno grande di un insieme di computer locali. In alcuni casi
+ e' possibile che si crei l'esigenza di creare una terza
+ sottorete detta DMZ (o zona demilitarizzata) atta a contenere
+ quei sistemi che devono essere isolati dalla rete interna ma
+ devono comunque essere protetti dal firewall. Una prima definizione chiusa di firewall è la
+ seguente: Apparato di rete hardware o software che filtra tutti i
+ pacchetti entranti ed uscenti, da e verso una rete o un
+ computer, applicando regole che contribuiscono alla sicurezza
+ della stessa. In realtà un firewall può essere realizzato con un
+ normale computer (con almeno due schede di rete e software
+ apposito), può essere una funzione inclusa in un router o
+ può essere un apparato specializzato. Esistono inoltre i
+ cosiddetti "firewall personali", che sono programmi
+ installati sui normali calcolatori, che filtrano solamente i
+ pacchetti che entrano ed escono da quel calcolatore; in tal
+ caso viene utilizzata una sola scheda di rete. La funzionalità principale in sostanza è quella di
+ creare un filtro sulle connessioni entranti ed uscenti, in
+ questo modo il dispositivo innalza il livello di sicurezza
+ della rete e permette sia agli utenti interni che a quelli
+ esterni di operare nel massimo della sicurezza. Il firewall
+ agisce sui pacchetti in transito da e per la zona interna
+ potendo eseguire su di essi operazioni di: controllo modifica
+ monitoraggio Questo grazie alla sua capacità di "aprire" il
+ pacchetto IP per leggere le informazioni presenti sul suo
+ header, e in alcuni casi anche di effettuare verifiche sul
+ contenuto del pacchetto. Link:
+ http://iptables-tutorial.frozentux.net/iptables-tutorial.html#IPFILTERING Natura di un firewall ip: su cosa lavora (livello 2 e un
+ po' del 3) e su cosa non lavora (livello 4).
+ Netfilter lavora anche su parti del livello 3 (TCP, UDP,
+ etc) e del livello 1 (MAC source address). Iptables
+ comunque permette di fare il connection-tracking,
+ mediante il quale possiamo implementare il Network Address
+ Translation. Netfilter non ricostruisce il flusso di dati tra
+ pacchetti, non puo' quindi rilevare la presenza di virus o
+ simili che si trasmettono su pacchetti separati:
+ ricomporre, analizzare e tornare a scomporre i frammenti
+ rtichiederebbe troppa RAM e risorse di sistema, con il
+ conseguente rischio di saturare il firewall fino
+ all'abbandono dei nuovi pacchetti in transito. Ci sono
+ altri software piu' adatti a questi compiti, ad esempio un
+ proxy HTTP come Squid che e' appunto una applicazione di
+ quarto livello, progettata e strutturata per analizzare e
+ modificare i flussi di dati (il contenuto dei
+ pacchetti, non le sole inestazioni) facendo
+ abbondate uso delle risorse RAM e di calcolo del sistema.
+ Non a caso su macchine embedded dalle prestazioni molto
+ ridotte (CPU ARM ~250Mhz con ~30MB di RAM) Squid sfrutta al
+ massimo le risorse di sistema per gestire il traffico di
+ una rete 10/100, mentre il lavoro tipico svolto da
+ netfilter e' quasi irrilevante. Per implementare un firewall bisogna decidere un aio di
+ cose: la collocazione e l'approccio (inclusivo o esclusivo)
+ al filtraggio, il tipo di hardware. DMZ e MZ, internet, intranet, extranet. Frammentazione
+ della rete, decidere se diversi reparti di una azienda si
+ possano vedere tra loro e in che misura. Collocazione: Drop o Accept: conseguenze per sicurezza, facilita' di
+ gestione. Sostanzialmente potremmo distinquere due tipologie di
+ hardware: Vantaggi e svantaggi: consumo elettrico, efficenza,
+ flessibilita', strumenti di gestione, sicurezza,
+ OpenBSD. link:
+ http://iptables-tutorial.frozentux.net/iptables-tutorial.html#TRAVERSINGOFTABLES Iptables lavora su 3 tabelle (tables) di default: Ogni tabella ha delle catene (chains) predefinite
+ (INPUT, OUTPUT, FORWARD ... ) a cui possono essere
+ aggiunte catene custom. Ogni catena è composta da un
+ elenco di regole (rules) che identificano pacchetti di
+ rete secono criteri diversi (es: -p tcp --dport 80 -d
+ 10.0.0.45) Ogni regola termina con una indicazione
+ (target) su cosa fare dei pacchetti identificati dalla
+ regola stessa (es: -j ACCEPT, -j DROP ...) I Match di una regola (rule) servono a testare un
+ pacchetto per valutare se corrisponda a certe
+ caratteriscttiche. I match di possono servire a
+ controllare se un pacchetto e' destinato a una porta
+ particolare o utilizza un protocollo particolare. Alcuni esempi: Se un pacchetto soddisfa le condizioni del Match
+ salta (jump) su uno dei target possibili, in
+ caso contrario continua il suo percorso tra regole catene
+ e tabelle. Target principali: E' quella implicita e predefinita (-t filter) Riguarda
+ le attività di filtraggio del traffico. Ha 3 catene
+ di default: INPUT - Riguarda tutti i pacchetti destinati al
+ sistema. In entrata da ogni interfaccia. OUTPUT - Riguarda
+ i pacchetti che sono originati dal sistema e destinati ad
+ uscire. FORWARD - Riguarda i pacchetti che attraversano il
+ sistema, con IP sorgente e destinazione esterni. Esempio per permettere accesso alla porta 80 locale:
+ iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
+ Analoga a: iptables -I INPUT -p tcp --dport 80 -j
+ ACCEPT Esempio per permettere ad un pacchetto con IP sorgente
+ 10.0.0.4 di raggiungere il server 192.168.0.1 attraversando
+ il firewall: iptables -I FORWARD -s 10.0.0.4 -d 192.168.0.1
+ -j ACCEPT Se state provando una configurazione del firewall per
+ una macchina remota e' buona norma per evitare brutte
+ figure attivare uno script che faccia il flush
+ delle regole dopo qualche minuto. Potreste infatti
+ inavvertitamente impostare una regola che vi impedisca di
+ raggiungere la macchina remota, cosi' da non poter neanche
+ eliminare quella regola e ripristinare la situazioe
+ precedente. Veramnete, prima di lavorare sul firewall di
+ una macchina remota inpostate almeno un at now +5 min o con un'oretta di margine per fare
+ il flush delle regole (su tutte le tabelle): Il comando iptables viene usato per ogni attivitÃ
+ di gestione e configurazione. Inserimento regole: Rimozione regole e azzeramenti: Interrogazione: Il comando iptables serve per interagire con il
+ framework Netfilter ch gestisce il firewall di
+ Linux al livello del kernel. Questo comporta, in modo
+ analogo a quando avvene col comando ifconfig,
+ che i cambiameti impostati siano in tempo reale,
+ RAM, non persistenti nel sistema: al boot sucessivo
+ del sistema tutto tornera' alle impostazioni di base (in
+ questo caso nulle, con policy di default settate
+ su ACCEPT per tutto). Le varie invocazioni di iptables potrebbero essere
+ richiamate da degli scripts dedicati, ma fortunatamente e'
+ stata predisposta una apposita utility per gestire questi
+ scripts in modo da avere a disposizione un formato
+ standard per il salvataggio e il ripristino delle
+ regole del firewall. Altro problema: decidere quando attivare / disattivare
+ queste regole. Utilizzare i runlevels non e' una
+ soluzione adeguata: le regole del firewall sono legate
+ all'attivita' delle schede di rete (e un host con diverse
+ schede di rete puo' attivarle a secondo delle esigenze di
+ routing, partenza di servizi es file_sharing per un
+ back-up...): il sistema operativo Debian permette di legare
+ l'esecuzione di comandi alla attivazione di una device di
+ rete (up), dopo la sua attivazione (post-up,
+ utile per devices che richiedono un certo tempo per
+ inizializzarsi: come un tunnel o una connessione punto a
+ punto), prima della sua attivazione (pre-up).
+ Allo stesso modo sono disponibili eventi analoghi per
+ accompagnare la disattivazione dei device di rete: si veda
+ la pagina man di interfaces. Nel nostro caso avremo per una possibile scheda
+ eth0: /etc/network/interfaces Per salvare le regole di iptables attualmente presenti
+ nel kernel si usi il comando: Il contenuto del file dovrebbe essere
+ comprensibile: sostanzialmente sono regole di
+ iptables, senza il comando iptables ripetuto, suddivisi
+ per le varie tabelle. Potete comunque correggere
+ eventuali parametri con un edito di testo. Se non avete un'idea migliore potreste voler tenere
+ gli script dei firewall in una cartella ~/firewall nella home directory
+ dell'utente root. Per ripristinare un set di regole prcedentemente
+ salvate con iptables-save si utilizzi iptables-restore. Se questo deve essere
+ fatto in modalita' non interattiva, ad esempio
+ deve essere eseguito dal demone che si occupa di
+ inizializzare le schede di rete, oppure un cron
+ o altro, e' buona norma richiamare i percorsi completi
+ sia dei comandi che dei file:3.4.1 Test del modulo
+ "#id33">3.4.1 Test del modulo
php
3.4.2 Installazione del supporto
+ "#id34">3.4.2 Installazione del supporto
per Mysql
3.4.3 phpmyadmin
+ "#id35">3.4.3 phpmyadmin
3.4.4 Installazione del supporto
+ "#id36">3.4.4 Installazione del supporto
per Postgresql
3.4.5 phppgadmin
+ "#id37">3.4.5 phppgadmin
3.5 Virtual hosts
+ "#id38">3.5 Virtual hosts
@@ -1321,7 +1997,7 @@ php5-pgsql phppgadmin
3.5.1 Gestione DNS
+ "#id39">3.5.1 Gestione DNS
3.5.2 Virtual host
+ "#id40">3.5.2 Virtual host
@@ -1516,7 +2192,7 @@ php5-pgsql phppgadmin
3.6 Negoziazione accessi
+ "#id41">3.6 Negoziazione accessi
3.6.1 Limiti su base ip
+ "#id42">3.6.1 Limiti su base ip
<VirtualHost *:80 >
# ...
+ <Directory "/var/www/177.piffa.net">
Order allow,deny
Allow from all
+ </Directory>
</VirtualHost>
@@ -1546,9 +2224,11 @@ php5-pgsql phppgadmin
questo modo:
<VirtualHost *:80 >
+ <Directory "/var/www/177.piffa.net">
Order allow,deny
Allow from all
Deny from 192.168.0.1
+ </Directory>
</VirtualHost>
@@ -1576,31 +2256,158 @@ php5-pgsql phppgadmin
"pre">GET per cercare di mandare in Denial Of
Service il webserver.
3.7 User Authentication
+
+ 3.7.1 Definire la
+ cartella
+
+
+ mkdir /var/www/177.piffa.net/privata
+
+ 3.7.2 Creazione del database
+ delle passwords
+
+
+htpasswd -c /home/utente/passwords luca
+
+
+ 3.6.2 User
- Authentication
-
-
+<VirtualHost *:80 >
+ ServerName 177.piffa.net
+ DocumentRoot /var/www/177.piffa.net/
+ ServerAdmin webmaster@177.piffa.net
+ <Directory "/var/www/177.piffa.net/privata">
+ AllowOverride AuthConfig
+ </Directory>
+</VirtualHost>
+
+
+
+# Questo file viene incluso
+# nella configurazione del sito web
+# Messaggio visualizzato al prompt per l'autenticazione
+AuthName "Area privata soggetta ad autentizazione"
+# tipo di autenticazione da usarsi
+AuthType Basic
+# File generato precedentemente con htpasswd
+AuthUserFile /home/utente/passwords
+
+# Negoziazione degli accessi
+# valid users permette l'accesso agli utenti specificati
+# nel file generato da htpasswd
+require valid-user
+
+
+ 3.7 Cavets
+ "#id47">3.8 Cavets
4 Domain Name System
+ "#id48">4 Domain Name System
- 4.1 Nomi di dominio
+ "#id49">4.1 Nomi di dominio
- 4.2 Tipologie di record
+ "#id50">4.2 Tipologie di record
4.3 Utilizzo
+ "#id51">4.3 Utilizzo
4.4 Risoluzione dei nomi di
+ "#id52">4.4 Risoluzione dei nomi di
dominio
4.5 Dig
+ "#id53">4.5 Dig
+
+ 4.6 resolv.conf
+
+
+
+
+
+
+ 4.7 /etc/hosts
+
+
+# cat /etc/hosts
+
+
+
+ 127.0.0.1 localhost.localdomain localhost 10.10.208.162
+ daniela daniela.piffa.net 10.10.208.254 mirror
+ mirror.piffa.net 91.191.138.15 thepiratebay.org
+ 192.168.0.11 chrome chrome.mydomain.com
+
+
+
+127.0.0.1 www.facebook.com
+
+
+ 4.8 Hostname
+
+
+* Squid: ``visible_hostname``
+
+* Postfix: ``myhostname``
+
5 DNSmasq
+ "#id57">5 DNSmasq
5.1 Configurazione
+
+
+
+ 5.2 DHCP
+
+
+dhcp-range=192.168.0.20,192.168.0.50,24h
+
+ 5.3 DNS cache
+
+
+nameserver 127.0.0.1
+
+
+
+prepend domain-name-servers 127.0.0.1;
+
+
+ 5.4 DHCPd
+
+ 6 Samba
+ "#id62">6 Samba
6.1 Pacchetti
+ "#id63">6.1 Pacchetti
samba-client
@@ -1961,7 +3041,7 @@ samba-client
samba smbfs smbclient
-
[2]
+ "#id4">[2]
Anche se nato per i sistemi Windows, Samba puo'
essere usato anche per montare cartelle sotto
@@ -1999,7 +3079,7 @@ dpkg-reconfigure samba-common
6.2 Passwords e
+ "#id64">6.2 Passwords e
autenticazione
6.3 Creazione Utenti
+ "#id65">6.3 Creazione Utenti
6.4 Creare la
+ "#id66">6.4 Creare la
condivisione
6.4.1 Sicurezza: permessi di
+ "#id67">6.4.1 Sicurezza: permessi di
esecuzione sul server
6.5 Configurazione
+ "#id68">6.5 Configurazione
dell'applicativo Samba vero e proprio.
6.6 Testare il Servizio
+ "#id69">6.6 Testare il Servizio
7 Server di posta: Postfix
+
+
+# ...segue dalla riga ~30
+myhostname = 162.piffa.net
+alias_maps = hash:/etc/aliases
+alias_database = hash:/etc/aliases
+myorigin = 162.piffa.net
+mydestination = 162.piffa.net, localhost
+# Se non avete un ip pubblico e statico, con un adeguato record PTR
+# dovrete usare un realy host per l'invio della posta
+relayhost = smtp.piffa.net
+mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
+
+# Per effettuare lo storaggio della posta nelle home directory degli utenti
+# in una Maildir invece che la Mailbox in /var/mail/utente
+# si disabiliti procmail
+#mailbox_command = procmail -a "$EXTENSION"
+
+# Storaggio della posta nella _cartella_ Maildir/ (si noti lo slash)
+# nella home dell'utente:
+home_mailbox = Maildir/
+mailbox_size_limit = 0
+recipient_delimiter = +
+inet_interfaces = all
+
+
+ 7.1 Imap e pop
+
+
+
+
+ 7.1.1 Web client
+
+
+cd /etc/apache2/conf.d/
+ln -s /etc/squirrelmail/apache.conf ./
+
+ 8 Firewall
+
+ 8.1 Links
+
+
+ 8.2 Ipfilter
+
+ 8.3 Progettazione di un
+ firewall
+
+ 8.3.1 Collocazione
+
+
+
+
+
+
+
+
+ 8.3.2 Policy di default
+
+ 8.3.3 Hardware
+
+
+
+
+ 8.4 Percorso dei pacchetti tra
+ tabelle e catene
+
+ 8.5 Concetti di base
+
+ 8.5.1 Tabelle, catene,
+ regole
+
+
+
+
+ 8.5.2 Match
+
+
+
+
+
+
+
+
+
+ -f
+
+ Frammento di pacchetto
+ 8.5.3 Targets
+
+
+
+
+
+
+
+
+
+ -t LOG
+
+ Il pacchetto viene loggato via syslog e procede
+ l'attraversamento della catena. Opzioni:
+ (--log-level, --log-prefix, --log-tcp-sequence,
+ --log-tcp-options, --log-ip-options)
+
+
+
+ -j DNAT
+
+ Viene modificato l'IP di destinazione del
+ pacchetto. Target disponibile solo in nat /
+ PREROUTING e nat / OUTPUT. L'opzione
+ --to-destination IP:porta definisce il nuovo IP di
+ destinazione. Si usa tipicamente su network
+ firewall che nattano server di una DMZ
+
+
+
+ -j SNAT
+
+ Viene modificato l'IP sorgente. Solo in nat /
+ POSTROUTING. Prevede l'opzione --to-source
+ IP:porta. Si usa per permettere l'accesso a
+ Internet da una rete locale con IP privati.
+
+
+
+ -j MASQUERADE
+
+ Simile a SNAT, si applica quando i pacchetti
+ escono da interfacce con IP dinamico (dialup, adsl,
+ dhcp...). Si usa solo in nat / POSTROUTING e
+ prevede l'opzione --to-ports porte.
+
+
+
+ -j REDIRECT
+
+ Redirige il pacchetto ad una porta locale.
+ Usabile solo in nat / PREROUTING e nat / OUTPUT è
+ previsto per fare un transparent proxy (con proxy
+ server in esecuzione sulla macchina con
+ iptables)
+
+
+
+ -j RETURN
+
+ Interrompe l'attraversamento della catena. Se
+ questa è una secondaria, il pacchetto torna ad
+ attraversare la catena madre da punto in cui aveva
+ fatto il salto nella secondaria. Se il RETURN è in
+ una delle catene di default, il pacchetto
+ interrompe l'attraversamento e segue la policy di
+ default.
+
+
+
+ -j TOS
+
+ Usabile solo nella tabella mangle, permette di
+ cambiare il TOS (Type Of Service) di un pacchetto
+ con l'opzione --set-tos. Per un elenco dei
+ parametri disponibili: iptables -j TOS -h
+
+
+
+ -j MIRROR
+
+ Curioso e sperimentale, questo target invia un
+ pacchetto speculare al mittente. In pratica è come
+ se facesse da specchio per tutti i pacchetti
+ ricevuti. Da usare con cautela, per evitare
+ attacchi DOS indiretti.
+ 8.6 Tabella Filter
+
+ 8.7 Flush automatico per macchine
+ remote
+
+
+ at now +5 min
+at> /sbin/iptables -F
+at> [CTR+d]
+
+ 8.8 Gestione regole
+ (rules)
+
+
+
+
+
+
+
+
+
+ 8.9 Salvataggio regole
+
+
+iface eth1 inet static
+ up /sbin/iptables-restore /root/firewall/basic_fw
+ # Seguno i soliti parametri della scheda di rete
+ address 10.10.208.21
+
+
+ 8.9.1 Iptables-save
+
+
+# iptables-save >> /root/firewall/basic_fw
+
+
+ 8.9.2 Iptables-restore
+
+
+/sbin/iptables-restore /root/firewall/basic_fw
+
+ 7 NOTE
+ "#id91">9 NOTE