sabato 9 giugno 2012

Firewall Firestarter

Nelle distribuzioni GNU/Linux prettamente rivolte all'utenza desktop, come nel caso di Ubuntu, la configurazione del firewall può risultare nella maggior parte dei casi superflua.



 Tuttavia all'occorrenza, nel caso si trovino eccessive difficoltà a configurare uno strumento potente ma complesso come IPtables, è possibile utilizzare Firestarter, un comodo firewall ad interfaccia grafica basato sulle librerie GTK perfettamente integrato con l'ambiente grafico GNOME.

Per installare Firestarter è sufficiente installare il pacchetto firestarter.

 Il programma sarà disponibile nel menù Sistema → Amministrazione → Firestarter.

 Al primo avvio di Firestarter viene avviata la procedura guidata per configurare il dispositivo di rete al quale si è connessi. Quindi alla voce «Dispositivi rilevati» selezionare nel menù a tendina il proprio dispositivo di rete.





A seconda del tipo di dispositivo di rete utilizzato e delle proprie esigenze, selezionare o meno le altre voci:
  • «Avviare il firewall quando si attiva la connessione»
  • «Indirizzo IP assegnato tramite DHCP»


Nella schermata successiva può essere attivata la condivisione a internet di una eventuale rete LAN selezionando la voce:
  • «Abilitare condivisione connessione internet»




A questo punto è possibile salvare la configurazione e concludere la configurazione guidata avviando Firestarter.





Prima di procedere alla configurazione vera e propria delle regole, dal menù Modifica → Preferenze → Interfaccia è consigliabile selezionare le voci «Abilitare l'icona di notifica» e «Minimizzare a icona alla chiusura della finestra». In questo modo verrà abilitata la comoda icona nell'area di notifica nella barra delle applicazioni.





Firestarter è composto da tre schede: Stato, Eventi e Politica.
  • Stato: dà informazioni riguardo lo stato del firewall e della connessione.
  • Eventi: permette di vedere gli eventuali tentativi di accesso bloccati dal firewall.
  • Politica: permette di impostare le regole firewall.









Particolare attenzione verrà data alla scheda «Politica», essendo la sezione nella quale vengono impostate tutte le regole di accesso. Dal menù a tendina sarà possibile selezionare:






 Selezionando dal menù a tendina «Politica per il traffico in uscita» c'è la possibilità di utilizzare due differenti impostazioni:
  • «Permissivo in modo predefinito, traffico da blacklist»: con questa impostazione tutte le porte in uscita saranno aperte e le applicazioni libere di comunicare con l’esterno fin da subito, eccetto quelle inserite nela "lista nera".
  • «Restrittivo in modo predefinito, traffico da whitelist»: con questa impostazione tutte le porte in uscita saranno chiuse e in seguito verranno aperte quelle necessarie alle applicazioni da utilizzare. 





    Al primo avvio Firestarter ha per predefinito questa impostazione:

  • Traffico in entrata chiuso : i servizi messi a disposizione di altri pc (file condivisi, pagine web, ecc...) sono bloccati. Firestarter consente di aprire le porte da loro utilizzate e di scegliere quale pc della rete LAN possa usufruirne.
    Occorre ricordare che i programmi P2P possono risentire della chiusura del traffico entrante, pertanto dovranno essere aperte le porte da loro utilizzate. 

  •  Traffico in uscita aperto : Permette ai programmi tipo browser, file manager e atri, di poter navigare la rete per visionare pagine web, scaricare posta elettronica, visualizzare dati messi in condivisi, ecc... da altri pc nella rete. Volendo è possibile adottare la soluzione opposta, cioè chiudere in modo predefinito le porte in uscita, però a meno di casi molto particolari in genere non c'è bisogno.

    Per approfondire quest'ultimo aspetto è vivamente consigliata la lettura della guida introduttiva al firewall in ambiente desktop.
I seguenti esempi si rifanno all'aggiunta di regole nella tabella «Politica per il traffico in ingresso» ma si ricorda, qualora ci sia la necessità di settare regole per il traffico in uscita, che le procedure sono pressoché analoghe.


A lato è raffigurata la tabella «Politica» e «Politica per il traffico in entrata».

Nella finestra in basso «Consenti servizio» sono già state impostate alcune regole. Per esempio è presente quella che permette al protocollo SMB la condivisione dati attraverso le porte 137, 139 e 445 con i pc della LAN. Nel caso specifico viene concesso il servizio al pc contraddistinto dall'IP 192.168.0.6. Il medesimo indirizzo è stato riportato anche nell'area «Consenti connessioni dall'host».
Inoltre sono presenti un paio di regole per permettere l'utilizzo di un programma P2P, in questo caso aMule e il protocollo FTP.








Per aggiungere nuove regole occorrerà selezionare l'area «Consenti servizio» e quindi selezionare il menù Politica → Aggiungi regola.















 In modo analogo è possibile aggiungere indirizzi di altri pc collegati alla LAN nell'area «Consenti connessioni dall'host» in modo che possano usufruire dei servizi messi a disposizione.














Aggiungendo una nuova regola appare la finestra mostrata in figura. Dal menù a cascata «Nome» può essere selezionato un servizio da una lista già esistente e automaticamente alla voce















«Porta» verranno inserite le relative porte. In questo caso è stato selezionato il protocollo FTP e automaticamente sono state inserite le porte 20 e 21. Ovviamente è sempre possibile scegliere se concedere il servizio a «Chiunque» o se limitarlo ad un «IP» in particolare.

  In certi casi nel menù a cascata non è presente la voce del protocollo da utilizzare. Sarà comunque sufficiente aggiungere manualmente le porte e a seconda dei casi nel campo «Nome» o verrà automaticamente inserito un nome oppure ne sarà digitato uno qualsiasi dall'utente.



  Se si necessita di un elenco completo e aggiornato delle porte, è possibile consultare la seguente pagina.




Nella scheda «Eventi» è possibile tener traccia delle eventuali connessioni verso il proprio pc.
In questo caso è presente l'indirizzo IP di un altro computer presente nella LAN (192.168.0.6) al quale è possibile concedere di usufruire dei dati messi in condivisione tramite Samba.
È possibile inserire nuove regole anche da questa tabella attraverso il clic destro. Selezionando «Consenti connessioni dalla sorgente» verrà impostato il nuovo IP nella scheda «Politica» / «Consenti connessioni dall'host» e selezionando «Consenti i servizi in ingresso per la sorgente» verrà impostata la regola riguardante il protocollo SMB nella scheda «Politica» / «Consenti servizio».


 Attraverso Firestarter è possibile permettere ad un altro computer di condividere la propria connessione ad internet. Tuttavia la seguente procedura è consigliabile solo a chi ha la necessità di creare particolari regole di firewalling.

  Chi fosse interessato solo ed esclusivamente a condividere la propria connessione può farlo in maniera molto più semplice attraverso Network Manager, sia via ethernet, sia via wireless.

Verrà chiamato server il computer connesso ad internet e client il computer al quale verrà concesso di condividere la connessione. Ovviamente occorre che i due pc siano forniti di una scheda di rete ciascuno.

Dal menù Sistema → Preferenze → Network Configuration è possibile configurare le schede di rete dei due pc, in modo che risultino per esempio così:



Server

Client

Indirizzo IP
192.168.0.1

Indirizzo IP
192.168.0.2

Subnet Mask
255.255.255.0

Subnet Mask
255.255.255.0

Gateway
(lasciare vuoto)

Gateway
192.168.0.1

DNS
xxx.xxx.xxx.xxx

DNS
xxx.xxx.xxx.xxx


I DNS sono forniti dal provider e variano a seconda della ditta che offre la connessione ad internet.
Una volta predisposte le schede di rete dei due pc, sul pc server occorre configurare Firestarter


  1. Dalla procedura guidata nella sezione «Configurazione dispositivo di rete» alla voce «Dispositivi rilevati» selezionare nel menù a tendina l'interfaccia di rete connessa ad internet. 

  2. Nella schermata successiva «Configurazione per la condivisione della connessione internet» selezionare l'interfaccia di rete configurata in precedenza, ossia la scheda di rete del server e quindi concludere la procedura.
A questo punto nella scheda «Politica» e «Politica per il traffico in entrata» basta inserire nella tabella «Consenti connessioni dall'host» l'IP del pc client nel nostro esempio 192.168.0.2. 

 Samba, è un programma per la condivisione dati, mette già attraverso i suoi strumenti di configurazione alcuni metodi per imporre all'interno di una rete LAN delle restrizioni su chi può accedere ai dati condivisi. A seconda delle esigenze però Firestarter può rivelarsi un'alternativa piuttosto pratica per impostare attraverso regole sugli IP statici chi può accedere ai dati messi in condivisione.

 Si presuppone che la rete LAN sia impostata con indirizzi statici e che il pc che funge da server abbia Firestarter installato.

Per prima cosa dal menù Modifica → Preferenze → Firewall → Opzioni avanzate → Traffico broadcast occorre deselezionata la voce «Bloccare trasmissioni broadcast dalla rete esterna». Quindi per permettere l'accesso ad uno degli utenti della rete LAN con indirizzo IP del tipo 192.168.x.x, inserire in «Politica per il traffico in ingresso» le seguenti regole:

Consenti connessioni dall'host

Consenti servizio
Porta
Per

192.168.x.x

Samba (SMB)
137-139 445
192.168.x.x

 In questo stesso modo possono essere aggiunti altri indirizzi IP. Ovviamente nella tabella «Eventi» è possibile tenere d'occhio i tentativi di accesso provenienti degli indirizzi IP che non hanno il permesso.


Nessun commento:

Posta un commento

Non sei daccordo? Dite la Vostra...