"id70" name="id70">6.3 DNS
slave</a></li>
+ <li>
+ <a class="reference internal" href=
+ "#aggiornamento-dinamico-nsupdate" id="id71" name=
+ "id71">6.4 Aggiornamento dinamico:
+ nsupdate</a>
+
+ <ul class="auto-toc">
+ <li><a class="reference internal" href=
+ "#configurazione-client-nsupdate" id="id72" name=
+ "id72">6.4.1 Configurazione client
+ (nsupdate)</a></li>
+
+ <li><a class="reference internal" href=
+ "#configurazione-server-riconoscimento-chiave" id=
+ "id73" name=
+ "id73">6.4.2 Configurazione
+ server: riconoscimento chiave</a></li>
+
+ <li><a class="reference internal" href=
+ "#server-gestione-dell-intera-zona" id="id74" name=
+ "id74">6.4.3 Server: gestione
+ dell'intera zona</a></li>
+ </ul>
+ </li>
+
<li><a class="reference internal" href=
- "#link-suggeriti" id="id71" name=
- "id71">6.4 Link suggeriti:</a></li>
+ "#link-suggeriti" id="id75" name=
+ "id75">6.5 Link suggeriti:</a></li>
</ul>
</li>
<li>
- <a class="reference internal" href="#samba" id="id72"
- name="id72">7 Samba</a>
+ <a class="reference internal" href="#samba" id="id76"
+ name="id76">7 Samba</a>
<ul class="auto-toc">
<li><a class="reference internal" href="#pacchetti" id=
- "id73" name=
- "id73">7.1 Pacchetti</a></li>
+ "id77" name=
+ "id77">7.1 Pacchetti</a></li>
<li><a class="reference internal" href=
- "#passwords-e-autenticazione" id="id74" name=
- "id74">7.2 Passwords e
+ "#passwords-e-autenticazione" id="id78" name=
+ "id78">7.2 Passwords e
autenticazione</a></li>
<li><a class="reference internal" href=
- "#creazione-utenti" id="id75" name=
- "id75">7.3 Creazione Utenti</a></li>
+ "#creazione-utenti" id="id79" name=
+ "id79">7.3 Creazione Utenti</a></li>
<li>
<a class="reference internal" href=
- "#creare-la-condivisione" id="id76" name=
- "id76">7.4 Creare la
+ "#creare-la-condivisione" id="id80" name=
+ "id80">7.4 Creare la
condivisione</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
"#sicurezza-permessi-di-esecuzione-sul-server" id=
- "id77" name=
- "id77">7.4.1 Sicurezza: permessi
+ "id81" name=
+ "id81">7.4.1 Sicurezza: permessi
di esecuzione sul server</a></li>
</ul>
</li>
<li>
<a class="reference internal" href=
"#configurazione-dell-applicativo-samba-vero-e-proprio"
- id="id78" name=
- "id78">7.5 Configurazione
+ id="id82" name=
+ "id82">7.5 Configurazione
dell'applicativo Samba vero e proprio.</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#creazione-di-un-gruppo" id="id79" name=
- "id79">7.5.1 Creazione di un
+ "#creazione-di-un-gruppo" id="id83" name=
+ "id83">7.5.1 Creazione di un
gruppo</a></li>
</ul>
</li>
<li><a class="reference internal" href=
- "#testare-il-servizio" id="id80" name=
- "id80">7.6 Testare il
+ "#testare-il-servizio" id="id84" name=
+ "id84">7.6 Testare il
Servizio</a></li>
</ul>
</li>
<li>
<a class="reference internal" href=
- "#server-di-posta-postfix" id="id81" name=
- "id81">8 Server di posta: Postfix</a>
+ "#server-di-posta-postfix" id="id85" name=
+ "id85">8 Server di posta: Postfix</a>
<ul class="auto-toc">
<li>
<a class="reference internal" href=
- "#test-del-server-smtp" id="id82" name=
- "id82">8.1 Test del server smtp</a>
+ "#test-del-server-smtp" id="id86" name=
+ "id86">8.1 Test del server smtp</a>
<ul class="auto-toc">
<li><a class="reference internal" href="#swaks" id=
- "id83" name=
- "id83">8.1.1 Swaks</a></li>
+ "id87" name=
+ "id87">8.1.1 Swaks</a></li>
</ul>
</li>
<li><a class="reference internal" href="#imap-e-pop"
- id="id84" name="id84">8.2 Imap e
+ id="id88" name="id88">8.2 Imap e
pop</a></li>
<li>
<a class="reference internal" href=
- "#client-a-riga-di-comando" id="id85" name=
- "id85">8.3 Client a riga di
+ "#client-a-riga-di-comando" id="id89" name=
+ "id89">8.3 Client a riga di
comando</a>
<ul class="auto-toc">
<li><a class="reference internal" href="#mailx" id=
- "id86" name=
- "id86">8.3.1 mailx</a></li>
+ "id90" name=
+ "id90">8.3.1 mailx</a></li>
<li><a class="reference internal" href="#mutt" id=
- "id87" name=
- "id87">8.3.2 Mutt</a></li>
+ "id91" name=
+ "id91">8.3.2 Mutt</a></li>
<li><a class="reference internal" href=
- "#web-client" id="id88" name=
- "id88">8.3.3 Web client</a></li>
+ "#web-client" id="id92" name=
+ "id92">8.3.3 Web client</a></li>
</ul>
</li>
<li>
<a class="reference internal" href="#graylisting" id=
- "id89" name=
- "id89">8.4 Graylisting</a>
+ "id93" name=
+ "id93">8.4 Graylisting</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#abilitazione-in-postfix" id="id90" name=
- "id90">8.4.1 Abilitazione in
+ "#abilitazione-in-postfix" id="id94" name=
+ "id94">8.4.1 Abilitazione in
Postfix</a></li>
<li><a class="reference internal" href="#test" id=
- "id91" name=
- "id91">8.4.2 Test</a></li>
+ "id95" name=
+ "id95">8.4.2 Test</a></li>
<li><a class="reference internal" href=
- "#statistiche" id="id92" name=
- "id92">8.4.3 Statistiche</a></li>
+ "#statistiche" id="id96" name=
+ "id96">8.4.3 Statistiche</a></li>
</ul>
</li>
</ul>
</li>
<li>
- <a class="reference internal" href="#firewall" id="id93"
- name="id93">9 Firewall</a>
+ <a class="reference internal" href="#firewall" id="id97"
+ name="id97">9 Firewall</a>
<ul class="auto-toc">
<li><a class="reference internal" href="#links" id=
- "id94" name="id94">9.1 Links</a></li>
+ "id98" name="id98">9.1 Links</a></li>
<li><a class="reference internal" href="#ipfilter" id=
- "id95" name=
- "id95">9.2 Ipfilter</a></li>
+ "id99" name=
+ "id99">9.2 Ipfilter</a></li>
<li>
<a class="reference internal" href=
- "#progettazione-di-un-firewall" id="id96" name=
- "id96">9.3 Progettazione di un
+ "#progettazione-di-un-firewall" id="id100" name=
+ "id100">9.3 Progettazione di un
firewall</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#collocazione" id="id97" name=
- "id97">9.3.1 Collocazione</a></li>
+ "#collocazione" id="id101" name=
+ "id101">9.3.1 Collocazione</a></li>
<li><a class="reference internal" href=
- "#policy-di-default" id="id98" name=
- "id98">9.3.2 Policy di
+ "#policy-di-default" id="id102" name=
+ "id102">9.3.2 Policy di
default</a></li>
<li><a class="reference internal" href="#hardware"
- id="id99" name=
- "id99">9.3.3 Hardware</a></li>
+ id="id103" name=
+ "id103">9.3.3 Hardware</a></li>
</ul>
</li>
<li><a class="reference internal" href=
"#percorso-dei-pacchetti-tra-tabelle-e-catene" id=
- "id100" name="id100">9.4 Percorso dei
+ "id104" name="id104">9.4 Percorso dei
pacchetti tra tabelle e catene</a></li>
<li>
<a class="reference internal" href=
- "#concetti-di-base" id="id101" name=
- "id101">9.5 Concetti di base</a>
+ "#concetti-di-base" id="id105" name=
+ "id105">9.5 Concetti di base</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#tabelle-catene-regole" id="id102" name=
- "id102">9.5.1 Tabelle, catene,
+ "#tabelle-catene-regole" id="id106" name=
+ "id106">9.5.1 Tabelle, catene,
regole</a></li>
<li><a class="reference internal" href="#match" id=
- "id103" name=
- "id103">9.5.2 Match</a></li>
+ "id107" name=
+ "id107">9.5.2 Match</a></li>
<li><a class="reference internal" href="#targets"
- id="id104" name=
- "id104">9.5.3 Targets</a></li>
+ id="id108" name=
+ "id108">9.5.3 Targets</a></li>
</ul>
</li>
<li><a class="reference internal" href=
- "#tabella-filter" id="id105" name=
- "id105">9.6 Tabella Filter</a></li>
+ "#tabella-filter" id="id109" name=
+ "id109">9.6 Tabella Filter</a></li>
<li><a class="reference internal" href=
- "#flush-automatico-per-macchine-remote" id="id106"
- name="id106">9.7 Flush automatico per
+ "#flush-automatico-per-macchine-remote" id="id110"
+ name="id110">9.7 Flush automatico per
macchine remote</a></li>
<li><a class="reference internal" href=
- "#gestione-regole-rules" id="id107" name=
- "id107">9.8 Gestione regole
+ "#gestione-regole-rules" id="id111" name=
+ "id111">9.8 Gestione regole
(rules)</a></li>
<li>
<a class="reference internal" href=
- "#salvataggio-regole" id="id108" name=
- "id108">9.9 Salvataggio regole</a>
+ "#salvataggio-regole" id="id112" name=
+ "id112">9.9 Salvataggio regole</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#iptables-save" id="id109" name=
- "id109">9.9.1 Iptables-save</a></li>
+ "#iptables-save" id="id113" name=
+ "id113">9.9.1 Iptables-save</a></li>
<li><a class="reference internal" href=
- "#iptables-restore" id="id110" name=
- "id110">9.9.2 Iptables-restore</a></li>
+ "#iptables-restore" id="id114" name=
+ "id114">9.9.2 Iptables-restore</a></li>
</ul>
</li>
<li>
<a class="reference internal" href="#esempi" id=
- "id111" name="id111">9.10 Esempi</a>
+ "id115" name="id115">9.10 Esempi</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#bloccare-i-ping-dall-esterno" id="id112" name=
- "id112">9.10.1 Bloccare i ping
+ "#bloccare-i-ping-dall-esterno" id="id116" name=
+ "id116">9.10.1 Bloccare i ping
dall'esterno</a></li>
<li><a class="reference internal" href=
- "#masquerading-snat" id="id113" name=
- "id113">9.10.2 Masquerading
+ "#masquerading-snat" id="id117" name=
+ "id117">9.10.2 Masquerading
(sNAT)</a></li>
<li><a class="reference internal" href=
- "#brute-force" id="id114" name=
- "id114">9.10.3 Brute
+ "#brute-force" id="id118" name=
+ "id118">9.10.3 Brute
force</a></li>
</ul>
</li>
</ul>
</li>
- <li><a class="reference internal" href="#note" id="id115"
- name="id115">10 NOTE</a></li>
+ <li><a class="reference internal" href="#note" id="id119"
+ name="id119">10 NOTE</a></li>
</ul>
</div>
ns1 A 94.23.63.105
ns2 A 65.98.21.97
zoo A 94.23.63.105
+smtp A 94.23.63.105
test.piffa.net. A 94.23.63.105
*.piffa.net. A 94.23.63.105 ; *catch all domain
www CNAME zoo
+ftp CNAME zoo
</pre>
<p>All'interno di questo file si possono inserire dei
<dt>NS</dt>
- <dd>Name Server della zona</dd>
+ <dd>Name Server della zona. Non deve essere un
+ cname.</dd>
<dt>A</dt>
<dt>CNAME</dt>
- <dd>Canonical Name: un alias per un host</dd>
+ <dd>Canonical Name: un alias per un host: ad esempio
+ per il dominio piffa.net possiamo settare degli alias
+ come <tt class="docutils literal"><span class=
+ "pre">www.piffa.net,</span> <span class=
+ "pre">http.piffa.net,</span> <span class=
+ "pre">virtual.piffa.net,</span> <span class=
+ "pre">ftp.piffa.net,</span> <span class=
+ "pre">imap.piffa.net</span></tt>. Comodo quando
+ diversi alias sono sempre riferiti allo stesso
+ ip.</dd>
<dt>MX</dt>
principale e <tt class=
"docutils literal"><span class="pre">MX</span>
<span class="pre">40</span> <span class=
- "pre">smtp2.piffa.net</span></tt> per il
- secondario.</dd>
+ "pre">smtp2.piffa.net</span></tt> per il secondario.
+ Non deve essere un cname.</dd>
<dt>PTR</dt>
</div>
</div>
+ <div class="section" id="aggiornamento-dinamico-nsupdate">
+ <h2><a class="toc-backref" href=
+ "#id71">6.4 Aggiornamento dinamico:
+ nsupdate</a></h2>
+
+ <p>Dalla versione 8 di Bind e' dsponibile l'utility
+ <tt class="docutils literal"><span class=
+ "pre">nsupdate</span></tt> (disponibile nel pacchetto
+ <tt class="docutils literal"><span class=
+ "pre">dnsutils</span></tt>) per aggiornare automaticamente
+ i record di una zona secondo il paradigma client / server (
+ RFC2136 ) . Posto che abbiate a disposizione un server DNS
+ Bind on-line su un indirizzo IP fisso e un zona da gestire
+ (che potrebbe essere anche solo la delega di un dominio di
+ terzo livello come <em>casa.miodominio.net</em>) sara'
+ possibile aggiornare automaticamente i record che tirano a
+ degli indirizzi IP <em>pubblici ma dnamici</em>, come
+ quelli spesso messi a disposizione dei provider per le
+ connessioni ad internet residenziali, in modo da poter
+ rendere sempre raggiungibile la vostra workstation a casa
+ anche dopo un aggiornamento dell'ip dinamico associato alla
+ connessione.</p>
+
+ <p>L'auenticazione del client nsupdate che avra' la
+ possibilita' di aggiornare il server DNS master avviene
+ tramite <em>Transaction signatures</em> (TSIG, RFC2845)
+ usando un algoritmo di criptazione dati asimmetrico
+ <em>HMAC-MD5</em> : generata una coppia di chiavi sul
+ client / nsupdate con l'utility si dovra' trasferire la
+ chiave pubblica sul server <em>master</em>, che verra'
+ configurato per onorare gli aggiornamenti (eliminazione e
+ inserimento di record RR) autenticati dalla chiave
+ privata.</p>
+
+ <div class="section" id="configurazione-client-nsupdate">
+ <h3><a class="toc-backref" href=
+ "#id72">6.4.1 Configurazione client
+ (nsupdate)</a></h3>
+
+ <p>Sul client, sul quale non deve essere necessariamente
+ installato un server DNS Bind ma la sola utility
+ <tt class="docutils literal"><span class=
+ "pre">nsupdate</span></tt>, generiamo la coppia di chiavi
+ con l'utility <tt class="docutils literal"><span class=
+ "pre">dnssec-keygen</span></tt> installabile tramite il
+ pacchetto <tt class="docutils literal"><span class=
+ "pre">bind9utils</span></tt>:</p>
+ <pre class="literal-block">
+dnssec-keygen -a HMAC-MD5 -b 512 -n USER home.piffa.net.
+</pre>
+
+ <p>Otterremo le due chiavi <tt class=
+ "docutils literal"><span class=
+ "pre">Khome.piffa.net.+157+04331.key</span>
+ <span class=
+ "pre">Khome.piffa.net.+157+04331.private</span></tt>, la
+ chiave pubblica dovra' essere resa noto al server master
+ che ricevera' l'update dei records.</p>
+ </div>
+
+ <div class="section" id=
+ "configurazione-server-riconoscimento-chiave">
+ <h3><a class="toc-backref" href=
+ "#id73">6.4.2 Configurazione server:
+ riconoscimento chiave</a></h3>
+
+ <dl class="docutils">
+ <dt>Per rendere nota al server la chiave pubblica
+ generata sul client si aggiunga quindi al file
+ <tt class="docutils literal"><span class=
+ "pre">/etc/bind/named.conf</span></tt> sul
+ server::</dt>
+
+ <dd>
+ <dl class="first last docutils">
+ <dt>key home.piffa.net. {</dt>
+
+ <dd>algorithm HMAC-MD5; secret
+ "txfAkNTScANEu2V73mCeiDpXNc3pmf+7ONOoKnTKQKIZMzierSmeHjK5
+ Z8ntnByt/PJwv26jCIsVh8n+xzVsRw=="; };</dd>
+ </dl>
+ </dd>
+ </dl>
+
+ <div class="note">
+ <p class="first admonition-title">Nota</p>
+
+ <p class="last">La parte <tt class=
+ "docutils literal"><span class=
+ "pre">secret</span></tt>, che potete leggere
+ direttamente nel file *.key della chiave genearta, e'
+ scritto <em>tutto sulla stessa riga</em> senza ritorni
+ a capo.</p>
+ </div>
+ </div>
+
+ <div class="section" id="server-gestione-dell-intera-zona">
+ <h3><a class="toc-backref" href=
+ "#id74">6.4.3 Server: gestione
+ dell'intera zona</a></h3>
+
+ <p>Sul server modifichiamo il file di configurazione
+ <tt class="docutils literal"><span class=
+ "pre">named.conf.local</span></tt> della zona della quale
+ vogliamo concedere l'aggiornamento al client:</p>
+ <pre class="literal-block">
+zone "piffa.net" {
+ type master;
+ file "/etc/bind/pz/piffa.net" ;
+ allow-update {
+ key home.piffa.net;
+ };
+};
+</pre>
+
+ <dl class="docutils">
+ <dt>Sara' necessario assicurarsi che il demone di Bind
+ sia in grado di modificare il file <tt class=
+ "docutils literal"><span class=
+ "pre">/etc/bind/pz/piffa.net</span></tt>: dato che
+ questo file ora sara' gestito da lui si proceda a
+ cedergli la propieta' del file::</dt>
+
+ <dd>chown bind /etc/bind/pz/piffa.net</dd>
+ </dl>
+
+ <p>Altro problema che si potrebbe porre: gli orologi di
+ sistema dei due host devono essere sincronizzati per
+ poter valutare l'opportunita' di un aggiornamento: si
+ consigla di installare su entrambi l'utility <tt class=
+ "docutils literal"><span class="pre">ntpdate</span></tt>
+ e di eseguirla facendo riferimento ai time server di
+ Debian:</p>
+ <pre class="literal-block">
+apt-get install ntpdate
+ntpdate-debian
+</pre>
+
+ <p>Ora possiamo provare dal client a effettuare
+ l'iserimento di un record per testarne il
+ funzionamento:</p>
+ <pre class="literal-block">
+# nsupdate -k Khome.piffa.net.+157+04331.private -v
+> server ns1.piffa.net
+> update add home.piffa.net. 86400 A 192.168.0.2
+> show
+Outgoing update query:
+;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
+;; flags: ; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
+;; UPDATE SECTION:
+home.piffa.net. 86400 IN A 192.168.0.1
+
+
+> send
+</pre>
+
+ <p>Per comprendere meglio l'uso dell'utility <tt class=
+ "docutils literal"><span class="pre">nsupdate</span></tt>
+ si consiglia la lettura della relativa pagina man. Nella
+ prima riga viene invocato il comando <tt class=
+ "docutils literal"><span class="pre">nsupdate</span></tt>
+ impostando col <em>flag</em> <tt class=
+ "docutils literal"><span class="pre">-k</span></tt> la
+ chiave <em>privata</em> generata precedentemente, con
+ <tt class="docutils literal"><span class=
+ "pre">server</span></tt> si imposta quale server NS
+ autoritario della zona (che abbiamo precedentemente
+ configurato per ricevere gli aggiornamenti) vogliamo
+ contattare. Alla riga sucessiva <tt class=
+ "docutils literal"><span class="pre">update</span></tt>
+ viene aggiunto un record <tt class=
+ "docutils literal"><span class="pre">A</span></tt> per la
+ il dominio <tt class="docutils literal"><span class=
+ "pre">home.piffa.net</span></tt> indirizzato all'IP
+ <tt class="docutils literal"><span class=
+ "pre">192.168.0.2</span></tt>, poi <tt class=
+ "docutils literal"><span class="pre">show</span></tt>
+ mostra quanto ci si prepara a comunicare al server con il
+ finale <tt class="docutils literal"><span class=
+ "pre">send</span></tt> .</p>
+
+ <p>Si noti che in questo modo <em>l'intera</em> zona
+ piffa.net e suscettibile di essere modificata dal client,
+ che potra' eliminare e inserire qualunque record. E'
+ possibile gestire in modo piu' granulare la zona, ad
+ esempio concedendo al client i privilegi per gestire solo
+ una parte della zona o i tipo di record da gestire.</p>
+ </div>
+ </div>
+
<div class="section" id="link-suggeriti">
<h2><a class="toc-backref" href=
- "#id71">6.4 Link suggeriti:</a></h2>
+ "#id75">6.5 Link suggeriti:</a></h2>
<ul class="simple">
<li>DNS for Rocket Scientists <a class=
<div class="section" id="samba">
<h1><a class="toc-backref" href=
- "#id72">7 Samba</a></h1>
+ "#id76">7 Samba</a></h1>
<p>Samba e' un progetto libero che fornisce servizi di
condivisione di file e stampanti a client SMB/CIFS.</p>
<div class="section" id="pacchetti">
<h2><a class="toc-backref" href=
- "#id73">7.1 Pacchetti</a></h2>
+ "#id77">7.1 Pacchetti</a></h2>
<p>Pacchetti da installare per utilizzare Samba in
modalita' client <a class="footnote-reference" href="#id6"
<div class="section" id="passwords-e-autenticazione">
<h2><a class="toc-backref" href=
- "#id74">7.2 Passwords e
+ "#id78">7.2 Passwords e
autenticazione</a></h2>
<p>Per poter configurare Samba in modo che usi un sistema
<div class="section" id="creazione-utenti">
<h2><a class="toc-backref" href=
- "#id75">7.3 Creazione Utenti</a></h2>
+ "#id79">7.3 Creazione Utenti</a></h2>
<p>Creiamo per primo l'utente sotto GNU/Linux, facendo
attenzione a <em>non dargli una shell di sistema</em>. Gli
<div class="section" id="creare-la-condivisione">
<h2><a class="toc-backref" href=
- "#id76">7.4 Creare la
+ "#id80">7.4 Creare la
condivisione</a></h2>
<p>La condivisione altro non e' che una cartella sul server
<div class="section" id=
"sicurezza-permessi-di-esecuzione-sul-server">
<h3><a class="toc-backref" href=
- "#id77">7.4.1 Sicurezza: permessi di
+ "#id81">7.4.1 Sicurezza: permessi di
esecuzione sul server</a></h3>
<p>Bisognerebbe notare sul server i permessi di
<div class="section" id=
"configurazione-dell-applicativo-samba-vero-e-proprio">
<h2><a class="toc-backref" href=
- "#id78">7.5 Configurazione
+ "#id82">7.5 Configurazione
dell'applicativo Samba vero e proprio.</a></h2>
<p>Avendo preparato gli utenti (ancora una volta: non si
<div class="section" id="creazione-di-un-gruppo">
<h3><a class="toc-backref" href=
- "#id79">7.5.1 Creazione di un
+ "#id83">7.5.1 Creazione di un
gruppo</a></h3>
<p>Se si deve condividere una risorsa con un numero
<div class="section" id="testare-il-servizio">
<h2><a class="toc-backref" href=
- "#id80">7.6 Testare il Servizio</a></h2>
+ "#id84">7.6 Testare il Servizio</a></h2>
<p>Come testare il servizio</p>
<div class="section" id="server-di-posta-postfix">
<h1><a class="toc-backref" href=
- "#id81">8 Server di posta: Postfix</a></h1>
+ "#id85">8 Server di posta: Postfix</a></h1>
<p>Il server di posta che prenderemo in considerazione e'
Postfix, a seguire un estratto di un file di configurazione
<div class="section" id="test-del-server-smtp">
<h2><a class="toc-backref" href=
- "#id82">8.1 Test del server smtp</a></h2>
+ "#id86">8.1 Test del server smtp</a></h2>
<p>Per testare il corretto funzionamento del server di
posta si puo' procedere in vari modi.</p>
<div class="section" id="swaks">
<h3><a class="toc-backref" href=
- "#id83">8.1.1 Swaks</a></h3>
+ "#id87">8.1.1 Swaks</a></h3>
<dl class="docutils">
<dt>Per gli utenti meno esperti e' consigliabile
<div class="section" id="imap-e-pop">
<h2><a class="toc-backref" href=
- "#id84">8.2 Imap e pop</a></h2>
+ "#id88">8.2 Imap e pop</a></h2>
<p>Postfix e' un server SMTP, di conseguenza se volete che
i vostri utenti possano <em>scaricare</em> in locale la
<div class="section" id="client-a-riga-di-comando">
<h2><a class="toc-backref" href=
- "#id85">8.3 Client a riga di
+ "#id89">8.3 Client a riga di
comando</a></h2>
<p>Per testare il corretto funzionamento del server di
<div class="section" id="mailx">
<h3><a class="toc-backref" href=
- "#id86">8.3.1 mailx</a></h3>
+ "#id90">8.3.1 mailx</a></h3>
<dl class="docutils">
<dt>Uno dei client piu' semplici, sopratutto per
<div class="section" id="mutt">
<h3><a class="toc-backref" href=
- "#id87">8.3.2 Mutt</a></h3>
+ "#id91">8.3.2 Mutt</a></h3>
<p>Mutt e' uno dei gestori di posta preferiti da chi
preferisce utilizzare l'interfaccia testuale per la
<div class="section" id="web-client">
<h3><a class="toc-backref" href=
- "#id88">8.3.3 Web client</a></h3>
+ "#id92">8.3.3 Web client</a></h3>
<p>Per mettere a disposizione degli utenti un client web
per gestire la propria posta si installi il pacchetto:
<div class="section" id="graylisting">
<h2><a class="toc-backref" href=
- "#id89">8.4 Graylisting</a></h2>
+ "#id93">8.4 Graylisting</a></h2>
<p>Il <em>graylisting</em> e' un sistema relativamente poco
invasivo, con un limitato consumo di risorse per limitare
<div class="section" id="abilitazione-in-postfix">
<h3><a class="toc-backref" href=
- "#id90">8.4.1 Abilitazione in
+ "#id94">8.4.1 Abilitazione in
Postfix</a></h3>
<p>Installare il pacchetto: <tt class=
<div class="section" id="test">
<h3><a class="toc-backref" href=
- "#id91">8.4.2 Test</a></h3>
+ "#id95">8.4.2 Test</a></h3>
<p>Inviando un messaggio il client dovrebbe ricevere un
iniziale messaggio di rifiuto del messaggio:</p>
<div class="section" id="statistiche">
<h3><a class="toc-backref" href=
- "#id92">8.4.3 Statistiche</a></h3>
+ "#id96">8.4.3 Statistiche</a></h3>
<p>E' sempre utile poter tracciare qualche statistica
sulle percentuali di messaggi ricevuti, da chi, messaggi
<div class="section" id="firewall">
<h1><a class="toc-backref" href=
- "#id93">9 Firewall</a></h1>
+ "#id97">9 Firewall</a></h1>
<p>In Informatica, nell'ambito delle reti di computer, un
firewall (termine inglese dal significato originario di
<div class="section" id="links">
<h2><a class="toc-backref" href=
- "#id94">9.1 Links</a></h2>
+ "#id98">9.1 Links</a></h2>
<ul class="simple">
<li><a class="reference external" href=
<div class="section" id="ipfilter">
<h2><a class="toc-backref" href=
- "#id95">9.2 Ipfilter</a></h2>
+ "#id99">9.2 Ipfilter</a></h2>
<p>Link: <a class="reference external" href=
"http://iptables-tutorial.frozentux.net/iptables-tutorial.html#IPFILTERING">
<div class="section" id="progettazione-di-un-firewall">
<h2><a class="toc-backref" href=
- "#id96">9.3 Progettazione di un
+ "#id100">9.3 Progettazione di un
firewall</a></h2>
<p>Per implementare un firewall bisogna decidere un aio di
<div class="section" id="collocazione">
<h3><a class="toc-backref" href=
- "#id97">9.3.1 Collocazione</a></h3>
+ "#id101">9.3.1 Collocazione</a></h3>
<p>DMZ e MZ, internet, intranet, extranet. Frammentazione
della rete, decidere se diversi reparti di una azienda si
<div class="section" id="policy-di-default">
<h3><a class="toc-backref" href=
- "#id98">9.3.2 Policy di default</a></h3>
+ "#id102">9.3.2 Policy di
+ default</a></h3>
<p>Drop o Accept: conseguenze per sicurezza, facilita' di
gestione.</p>
<div class="section" id="hardware">
<h3><a class="toc-backref" href=
- "#id99">9.3.3 Hardware</a></h3>
+ "#id103">9.3.3 Hardware</a></h3>
<p>Sostanzialmente potremmo distinguere due tipologie di
hardware:</p>
<div class="section" id=
"percorso-dei-pacchetti-tra-tabelle-e-catene">
<h2><a class="toc-backref" href=
- "#id100">9.4 Percorso dei pacchetti tra
+ "#id104">9.4 Percorso dei pacchetti tra
tabelle e catene</a></h2>
<p>link: <a class="reference external" href=
<div class="section" id="concetti-di-base">
<h2><a class="toc-backref" href=
- "#id101">9.5 Concetti di base</a></h2>
+ "#id105">9.5 Concetti di base</a></h2>
<div class="section" id="tabelle-catene-regole">
<h3><a class="toc-backref" href=
- "#id102">9.5.1 Tabelle, catene,
+ "#id106">9.5.1 Tabelle, catene,
regole</a></h3>
<p>Iptables lavora su 3 tabelle (tables) di default:</p>
<div class="section" id="match">
<h3><a class="toc-backref" href=
- "#id103">9.5.2 Match</a></h3>
+ "#id107">9.5.2 Match</a></h3>
<p>I Match di una regola (rule) servono a testare un
pacchetto per valutare se corrisponda a certe
<div class="section" id="targets">
<h3><a class="toc-backref" href=
- "#id104">9.5.3 Targets</a></h3>
+ "#id108">9.5.3 Targets</a></h3>
<p>Se un pacchetto soddisfa le condizioni del Match
<em>salta</em> (jump) su uno dei target possibili, in
<div class="section" id="tabella-filter">
<h2><a class="toc-backref" href=
- "#id105">9.6 Tabella Filter</a></h2>
+ "#id109">9.6 Tabella Filter</a></h2>
<p>E' quella implicita e predefinita (-t filter) Riguarda
le attività di filtraggio del traffico. Ha 3 catene
<div class="section" id=
"flush-automatico-per-macchine-remote">
<h2><a class="toc-backref" href=
- "#id106">9.7 Flush automatico per macchine
+ "#id110">9.7 Flush automatico per macchine
remote</a></h2>
<p>Se state provando una configurazione del firewall per
<div class="section" id="gestione-regole-rules">
<h2><a class="toc-backref" href=
- "#id107">9.8 Gestione regole
+ "#id111">9.8 Gestione regole
(rules)</a></h2>
<p>Il comando iptables viene usato per ogni
<div class="section" id="salvataggio-regole">
<h2><a class="toc-backref" href=
- "#id108">9.9 Salvataggio regole</a></h2>
+ "#id112">9.9 Salvataggio regole</a></h2>
<p>Il comando <tt class="docutils literal"><span class=
"pre">iptables</span></tt> serve per interagire con il
<div class="section" id="iptables-save">
<h3><a class="toc-backref" href=
- "#id109">9.9.1 Iptables-save</a></h3>
+ "#id113">9.9.1 Iptables-save</a></h3>
<p>Per salvare le regole di iptables attualmente presenti
nel kernel si usi il comando:</p>
<div class="section" id="iptables-restore">
<h3><a class="toc-backref" href=
- "#id110">9.9.2 Iptables-restore</a></h3>
+ "#id114">9.9.2 Iptables-restore</a></h3>
<p>Per ripristinare un set di regole precedentemente
salvate con <tt class="docutils literal"><span class=
<div class="section" id="esempi">
<h2><a class="toc-backref" href=
- "#id111">9.10 Esempi</a></h2>
+ "#id115">9.10 Esempi</a></h2>
<p>Seguono alcuni esempi sull'uso di iptables, lo scenario
e' un computer con un paio di schede di rete fisiche una
<div class="section" id="bloccare-i-ping-dall-esterno">
<h3><a class="toc-backref" href=
- "#id112">9.10.1 Bloccare i ping
+ "#id116">9.10.1 Bloccare i ping
dall'esterno</a></h3>
<p>Spesso gli script che attaccano
<div class="section" id="masquerading-snat">
<h3><a class="toc-backref" href=
- "#id113">9.10.2 Masquerading
+ "#id117">9.10.2 Masquerading
(sNAT)</a></h3>
<dl class="docutils">
<div class="section" id="brute-force">
<h3><a class="toc-backref" href=
- "#id114">9.10.3 Brute force</a></h3>
+ "#id118">9.10.3 Brute force</a></h3>
<dl class="docutils">
<dt>Per limitare attacchi di tipo brute force su
<div class="section" id="note">
<h1><a class="toc-backref" href=
- "#id115">10 NOTE</a></h1>
+ "#id119">10 NOTE</a></h1>
<dl class="docutils">
<dt>Bind:</dt>
projects / doc / .git / commitdiff