From: Andrea Manni Date: Thu, 21 May 2009 10:35:11 +0000 (+0200) Subject: Aggiunta sui firewall. X-Git-Url: http://git.piffa.net/web?a=commitdiff_plain;h=21baaff90e9e9fc2eaa9c2740a2d2b975eb2724f;p=doc%2F.git Aggiunta sui firewall. modified: servizi.html modified: source/servizi.txt --- diff --git a/servizi.html b/servizi.html index f0fc4e0..196e314 100644 --- a/servizi.html +++ b/servizi.html @@ -319,7 +319,7 @@ Version: - 0.6 + 0.7 @@ -739,11 +739,27 @@ "#gestione-regole-rules" id="id83" name= "id83">7.8   Gestione regole (rules) + +
  • + 7.9   Salvataggio regole + + +
  • -
  • 8   NOTE
  • +
  • 8   NOTE
  • @@ -2684,13 +2700,28 @@ l.google.com. 80856 IN NS g.l.google.com. resolv.conf per conoscere l'ubicazione del DNS.

    /etc/resolv.conf:

    -
    -- ``nameserver``: indica il nameserver da utilizzare, indicato con l'indirizzo ip.
     
    -- ``domain``: indica il nome di dominio della rete attuale, vedi voce sucessiva.
    +        
    +
      +
    • nameserver: indica il nameserver da + utilizzare, indicato con l'indirizzo ip.
    • -- ``search``: nome di dominio usato dalla rete sul quale cercare gli hosts. Ad esempio se impostato su ``piffa.net`` pingando l'host ``bender`` viene automaticamente fatto un tentativo di ricerca per ``bender.piffa.net``. -
    +
  • domain: indica il nome di dominio + della rete attuale, vedi voce sucessiva.
  • + +
  • search: nome di dominio usato dalla + rete sul quale cercare gli hosts. Ad esempio se + impostato su piffa.net pingando l'host bender + viene automaticamente fatto un tentativo di ricerca per + bender.piffa.net.
  • + +

    Si veda anche la pagina man di resolv.conf.

    @@ -3771,11 +3802,113 @@ at> [CTR+d] regole esistenti + +
    +

    7.9   Salvataggio regole

    + +

    Il comando iptables serve per interagire con il + framework Netfilter ch gestisce il firewall di + Linux al livello del kernel. Questo comporta, in modo + analogo a quando avvene col comando ifconfig, + che i cambiameti impostati siano in tempo reale, + RAM, non persistenti nel sistema: al boot sucessivo + del sistema tutto tornera' alle impostazioni di base (in + questo caso nulle, con policy di default settate + su ACCEPT per tutto).

    + +

    Le varie invocazioni di iptables potrebbero essere + richiamate da degli scripts dedicati, ma fortunatamente e' + stata predisposta una apposita utility per gestire questi + scripts in modo da avere a disposizione un formato + standard per il salvataggio e il ripristino delle + regole del firewall.

    + +

    Altro problema: decidere quando attivare / disattivare + queste regole. Utilizzare i runlevels non e' una + soluzione adeguata: le regole del firewall sono legate + all'attivita' delle schede di rete (e un host con diverse + schede di rete puo' attivarle a secondo delle esigenze di + routing, partenza di servizi es file_sharing per un + back-up...): il sistema operativo Debian permette di legare + l'esecuzione di comandi alla attivazione di una device di + rete (up), dopo la sua attivazione (post-up, + utile per devices che richiedono un certo tempo per + inizializzarsi: come un tunnel o una connessione punto a + punto), prima della sua attivazione (pre-up). + Allo stesso modo sono disponibili eventi analoghi per + accompagnare la disattivazione dei device di rete: si veda + la pagina man di interfaces.

    + +

    Nel nostro caso avremo per una possibile scheda + eth0:

    + +

    /etc/network/interfaces

    +
    +iface eth1 inet static
    +        up /sbin/iptables-restore /root/firewall/basic_fw
    +        # Seguno i soliti parametri della scheda di rete
    +        address 10.10.208.21
    +
    + +
    +

    7.9.1   Iptables-save

    + +

    Per salvare le regole di iptables attualmente presenti + nel kernel si usi il comando:

    +
    +# iptables-save >> /root/firewall/basic_fw
    +
    + +

    Il contenuto del file dovrebbe essere + comprensibile: sostanzialmente sono regole di + iptables, senza il comando iptables ripetuto, suddivisi + per le varie tabelle. Potete comunque correggere + eventuali parametri con un edito di testo.

    + +

    Se non avete un'idea migliore potreste voler tenere + gli script dei firewall in una cartella ~/firewall nella home directory + dell'utente root.

    +
    + +
    +

    7.9.2   Iptables-restore

    + +

    Per ripristinare un set di regole prcedentemente + salvate con iptables-save si utilizzi iptables-restore. Se questo deve essere + fatto in modalita' non interattiva, ad esempio + deve essere eseguito dal demone che si occupa di + inizializzare le schede di rete, oppure un cron + o altro, e' buona norma richiamare i percorsi completi + sia dei comandi che dei file:

    +
    +/sbin/iptables-restore /root/firewall/basic_fw
    +
    +
    +

    8   NOTE

    + "#id87">8   NOTE