RELATIVA DISCUSSIONE SUL FORUM

Introduzione

Nelle distribuzioni GNU/Linux prettamente rivolte all'utenza "desktop", come nel caso di Ubuntu, la configurazione del firewall può risultare nella maggior parte dei casi superflua.

Tuttavia all'occorrenza, nel caso si trovino eccessive difficoltà a configurare uno strumento potente ma complesso come IPtables, è possibile utilizzare Firestarter, un comodo firewall ad interfaccia grafica basato sulle librerie Gtk perfettamente integrato con l'ambiente grafico GNOME.

Installazione

Per utilizzare Firestarter è sufficiente installare il pacchetto firestarter.
Il programma sarà disponibile nel menù Sistema -> Amministrazione -> Firestarter.

Ubuntu 8.04 «Hardy Heron» e versioni precedenti

Le versione di Firestarter presenti nei repository di Ubuntu fino alla versione 8.04 «Hardy Heron», sono sprovviste di una traduzione completa in italiano.
Per ovviare a questo problema occorre scaricare il file Upload new attachment "firestarter.mo.gz". Quindi aprire un terminale e dalla directory di scaricamento digitare i seguenti due comandi:

gzip -d firestarter.mo.gz
sudo cp firestarter.mo /usr/share/locale/it/LC_MESSAGES/

In questo modo il file sarà estratto e copiato nella directory /usr/share/locale/it/LC_MESSAGES/ e Firestarter sarà disponibile in italiano.

Configurazione

Al primo avvio di Firestarter viene avviata la procedura guidata per configurare il dispositivo di rete al quale si è connessi. Quindi alla voce «Dispositivi rilevati» selezionare nel menù a tendina il proprio dispositivo di rete (scheda di rete ethernet, modem, ecc...).

A seconda del tipo di dispositivo di rete utilizzato e delle vostre esigenze, selezionare o meno le altre voci:

• «Avviare il firewall quando si attiva la connessione»

• «Indirizzo IP assegnato tramite DHCP»

Nella schermata successiva può essere attivata la condivisione Internet di una eventuale rete LAN selezionando la voce:

• «Abilitare condivisione connessione internet»

A questo punto è possibile salvare la configurazione e concludere la configurazione guidata avviando Firestarter.

Prima di procedere al settaggio vero e proprio delle regole, dal menù Modifica -> Preferenze -> Interfaccia è consigliabile selezionare le voci «Abilitare l'icona di notifica» e «Minimizzare a icona alla chiusura della finestra». In questo modo verrà abilitata la comoda icona nell'area di notifica nella barra delle applicazioni.

Sulla versione 7.10 «Gutsy Gibbon» di Ubuntu alcuni utenti hanno riportato problemi riguardo l'avvio automatico di Firestarter. Se si ravvisano problemi simili consultare il capitolo Controllo dello stato del firewall

Descrizione dell'interfaccia utente

Firestarter è composto da tre schede: «Stato», «Eventi» e «Politica».

• «Stato»: dà informazioni sullo stato del firewall e della connessione.

• «Eventi»: permette di vedere gli eventuali tentativi di accesso bloccati dal firewall.

• «Politica»: permette di impostare le regole firewall.

Particolare attenzione verrà data alla scheda «Politica», essendo la sezione nella quale vengono impostate tutte le regole di accesso. Dal menù a tendina sarà possibile selezionare:

• «Politica per il traffico in ingresso»: regole per il traffico in entrata.

• «Politica per il traffico in uscita»: regole per il traffico in uscita.

Selezionando dal menù a tendina «Politica per il traffico in uscita» c'è la possibilità di utilizzare due differenti impostazioni:

• «Permissivo in modo predefinito, traffico da blacklist»: Con questa impostazione tutte le porte in uscita saranno aperte e le applicazione libere di comunicare con l’esterno fin da subito, eccetto quelle che inseriremo in una eventuale "lista nera".

• «Restrittivo in modo predefinito, traffico da whitelist»: Con questa impostazione tutte le porte in uscita saranno chiuse e in seguito verranno aperte quelle necessarie alle applicazioni che vogliamo utilizzare.

Impostazioni

Al primo avvio Firestarter ha di default questa impostazione:

• Traffico in entrata chiuso : I servizi messi a disposizione di altri pc (file condivisi, pagine web, ecc..) sono bloccati di default. Firestarter consente di aprire le porte da loro utilizzate e di scegliere quale pc della rete LAN possa usufruirne.
  Occorre ricordare che i programmi p2p possono risentire della chiusura del traffico entrante, pertanto dovranno essere aperte le porte da loro utilizzate.

• Traffico in uscita aperto : Permette ai software tipo browser, file manager, ecc.. di poter navigare la rete per visionare pagine web, scaricare posta elettronica, visualizzare dati messi in condivisi, ecc.. da altri pc nella rete. Volendo è possibile adottare la soluzione opposta, cioè chiudere di default le porte in uscita, però a meno di casi molto particolari in genere non ce ne è bisogno. Per approfondire quest'ultimo aspetto è vivamente consigliata la lettura di "questa pagina".

I seguenti esempi si rifanno all'aggiunta di regole nella tabella «Politica per il traffico in ingresso» ma si ricorda, qualora ci sia la necessità di settare regole per il traffico in uscita (magari per bloccare un servizio), che le procedure sono pressoché analoghe.

Se si necessita di un elenco completo e aggiornato delle porte, è possibile consultare la seguente pagina.

Esempi di utilizzo

Condividere la connessione ad internet

Attraverso Firestarter è possibile permettere ad un altro computer di condividere la propria connessione ad internet. Questo può tornare particolarmente comodo nel caso ci si connetta ad internet attraverso un modem.

Verrà chiamato server il computer connesso ad internet e client il computer al quale verrà concesso di condividere la connessione. Ovviamente occorre che i due pc siano forniti di una scheda di rete ciascuno.
Dal menù Sistema -> Amministrazione -> Rete di Ubuntu è possibile configurare le schede di rete dei due pc, in modo che risultino per esempio così:

I DNS sono forniti dal provider e variano a seconda della ditta che offre la connessione ad internet.

Una volta predisposte le schede di rete dei due pc, sul pc server occorre configurare Firestarter:

1. Dalla procedura guidata nella sezione «Configurazione dispositivo di rete» alla voce «Dispositivi rilevati» selezionare nel menù a tendina l'interfaccia di rete connessa ad internet.

2. Nella schermata successiva «Configurazione per la condivisione della connessione internet» selezionare l'interfaccia di rete configurata in precedenza, ossia la scheda di rete del server e quindi concludere la procedura.

A questo punto nella scheda «Politica» / «Politica per il traffico in entrata» basta inserire nella tabella «Consenti connessioni dall'host» l'IP del pc client nel nostro esempio 192.168.0.2.

Condividere dati tramite Samba

Samba, software per la condivisione dati, mette già attraverso i suoi strumenti di configurazione alcuni metodi per imporre all'interno di una rete LAN delle restrizioni su chi può accedere ai dati condivisi. A seconda delle esigenze però Firestarter può rivelarsi un'alternativa piuttosto pratica per impostare attraverso regole sugli IP statici chi può accedere ai dati messi in condivisione.

Si presuppone che la rete LAN sia impostata con indirizzi statici e che il pc che funge da server abbia Firestarter installato.
Per prima cosa dal menù Modifica -> Preferenze -> Firewall -> Opzioni avanzate -> Traffico broadcast occorre deselezionata la voce «Bloccare trasmissioni broadcast dalla rete esterna». Quindi per permettere l'accesso ad uno degli utenti della rete LAN con indirizzo IP del tipo 192.168.x.x, inserire in «Politica per il traffico in ingresso» le seguenti regole:

In questo stesso modo possono essere aggiunti altri indirizzi IP. Ovviamente nella tabella «Eventi» è possibile tenere d'occhio i tentativi di accesso provenienti degli indirizzi IP che non hanno il permesso.

Controllo dello stato del firewall

Come riportato da diversi utenti, nella versione 7.10 «Gutsy Gibbon» può capitare che Firestarter non si avvii automaticamente all'avvio del sistema. Per comprendere se effettivamente all'avvio il firewall è in funzione, occorre riavviare il sistema e digitare nel terminale il seguente comando:

sudo iptables -L

nel caso il risultato fosse

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Vuol dire che il firewall non è attivo all'avvio. In caso contrario si otterrebbe un elenco molto lungo di regole variabili a seconda delle impostazioni che sono state scelte.

Pertanto nel caso il firewall non si avvii può essere eseguita la seguente procedura.

Firestarter richiede i privilegi di root e quindi per poter essere avviato automaticamente e senza che sia richieda la password, si deve innanzitutto editare il file che contiene i permessi per il funzionamento di privilegi di amministrazione, il comando con il quale si acquisiscono temporaneamente i privilegi di amministratore su Ubuntu. Aprire un terminale e digitare il seguente comando:

sudo visudo

Scorrere la schermata verso il basso con le freccette e posizionrsi dopo le righe

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL.

e in quest’area scrivere

nomeutente ALL=NOPASSWD:/usr/sbin/firestarter

dove per “nomeutente” si intende il vostro username, quello che usate normalmente per fare il login.
Si salvi premendo Ctrl+O e si esca poi con la combinazione di tasti Ctrl+X.

Adesso non rimane altro da fare che dire al sistema di far partire Firestarter all’avvio.
Dal menù di Ubuntu (in questo caso la versione con GNOME), si sceglie Sistema -> Preferenze -> Sessioni e si fa clic sulla scheda «Programmi d’avvio». Qui dopo aver premuto il bottone «Aggiungi» si deve scrivere il nome dell'applicazione, in questo caso "Firestarter", e digitare nella casella di comando

sudo firestarter --start-hidden

Ulteriori risorse

• Guida ufficiale di Firestarter in inglese

• Guida di Firestarter su Linuxpedia

• Elenco delle porte su Iana

• Elenco delle porte standard su Wikipedia

CategoryHomepage