From: Andrea Manni
@@ -739,11 +739,27 @@
"#gestione-regole-rules" id="id83" name=
"id83">7.8 Gestione regole
(rules)
+
+ Version:
- 0.6
+ 0.7
/etc/resolv.conf:
--- ``nameserver``: indica il nameserver da utilizzare, indicato con l'indirizzo ip. -- ``domain``: indica il nome di dominio della rete attuale, vedi voce sucessiva. ++++
- nameserver: indica il nameserver da + utilizzare, indicato con l'indirizzo ip.
-- ``search``: nome di dominio usato dalla rete sul quale cercare gli hosts. Ad esempio se impostato su ``piffa.net`` pingando l'host ``bender`` viene automaticamente fatto un tentativo di ricerca per ``bender.piffa.net``. -
Si veda anche la pagina man di resolv.conf.
@@ -3771,11 +3802,113 @@ at> [CTR+d] regole esistenti + +Il comando iptables serve per interagire con il + framework Netfilter ch gestisce il firewall di + Linux al livello del kernel. Questo comporta, in modo + analogo a quando avvene col comando ifconfig, + che i cambiameti impostati siano in tempo reale, + RAM, non persistenti nel sistema: al boot sucessivo + del sistema tutto tornera' alle impostazioni di base (in + questo caso nulle, con policy di default settate + su ACCEPT per tutto).
+ +Le varie invocazioni di iptables potrebbero essere + richiamate da degli scripts dedicati, ma fortunatamente e' + stata predisposta una apposita utility per gestire questi + scripts in modo da avere a disposizione un formato + standard per il salvataggio e il ripristino delle + regole del firewall.
+ +Altro problema: decidere quando attivare / disattivare + queste regole. Utilizzare i runlevels non e' una + soluzione adeguata: le regole del firewall sono legate + all'attivita' delle schede di rete (e un host con diverse + schede di rete puo' attivarle a secondo delle esigenze di + routing, partenza di servizi es file_sharing per un + back-up...): il sistema operativo Debian permette di legare + l'esecuzione di comandi alla attivazione di una device di + rete (up), dopo la sua attivazione (post-up, + utile per devices che richiedono un certo tempo per + inizializzarsi: come un tunnel o una connessione punto a + punto), prima della sua attivazione (pre-up). + Allo stesso modo sono disponibili eventi analoghi per + accompagnare la disattivazione dei device di rete: si veda + la pagina man di interfaces.
+ +Nel nostro caso avremo per una possibile scheda + eth0:
+ +/etc/network/interfaces
++iface eth1 inet static + up /sbin/iptables-restore /root/firewall/basic_fw + # Seguno i soliti parametri della scheda di rete + address 10.10.208.21 ++ +
Per salvare le regole di iptables attualmente presenti + nel kernel si usi il comando:
++# iptables-save >> /root/firewall/basic_fw ++ +
Il contenuto del file dovrebbe essere + comprensibile: sostanzialmente sono regole di + iptables, senza il comando iptables ripetuto, suddivisi + per le varie tabelle. Potete comunque correggere + eventuali parametri con un edito di testo.
+ +Se non avete un'idea migliore potreste voler tenere + gli script dei firewall in una cartella ~/firewall nella home directory + dell'utente root.
+Per ripristinare un set di regole prcedentemente + salvate con iptables-save si utilizzi iptables-restore. Se questo deve essere + fatto in modalita' non interattiva, ad esempio + deve essere eseguito dal demone che si occupa di + inizializzare le schede di rete, oppure un cron + o altro, e' buona norma richiamare i percorsi completi + sia dei comandi che dei file:
++/sbin/iptables-restore /root/firewall/basic_fw ++