Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Lord_neo"
Differenze tra le versioni 24 e 25
Versione 24 del 24/09/2007 18.20.40
Dimensione: 7419
Autore: AlbertoVigano
Commento:
Versione 25 del 24/09/2007 18.25.30
Dimensione: 8680
Autore: AlbertoVigano
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 88: Linea 88:
== Condivisione dati ==

Nello specifico da un computer con Ubuntu accedere ad una directory messa in condivisone su Windows sul cui firewall è stato dato l'accesso all'IP del computer con Ubuntu.
Utilizzando la procedura sopra riportata, cercando di accedere alla cartella condivisa di Windows nella lista "Events" apparirà una linea con questi dati: Porta: 137 e Servizio: Samba (SMB).
Va anche aggiunto che nella schermata “Status” vedo l'IP del computer Windows del tipo 192.168.1.x.
Pertanto andrà aggiunto in “Outbound traffic policy”:
{{{
“Allow connections to host” = 192.168.1.x.
“Allow service” = Samba (SMB) - “Porta” 137
}}}
Non è finita se provo nuovamente ad accedere alla cartella... non ci riuscirò e in “Events” apparirà una linea che contiene dati del tipo: “Porta: 32722” (variabile) e “Servizio: Sun-RPC portmap”. Clic di destro su di essa e selezionare sia “Allow connection from source” che “Allow inbound service from source”.
Risulterà “Inbound traffic policy”
{{{
“Allow connections from host: 192.168.1.x”
“Allow service: Sun-RPC portmap – Porta: 32722 – For: 192.168.1.x”
}}}
E finalmente possiamo accedere alla cartella condivisa su Windows.

BR

ATTENZIONE! Guida in corso di allestimento.

BR

Introduzione

In tutti i sistemi GNU/Linux è presente Netfilter, un componente integrato nel kernel che si occupa della gestione del traffico di rete. L’utente può modificare le impostazioni di Netfiler senza operare direttamente sul kernel. Per questo motivo si ha a disposizione iptables, un tool ottimo e potente, ma privo di interfaccia grafica. In aternativa è possibile disporre di programmi intermediari, tra i quali Firestarter.

Quest'ultimo è un comodo firewall ad interfaccia grafica, che utilizza le librerie Gtk, integrandosi perfettamente con il desktop di Ubuntu. Renderà pertanto più semplice la gestione delle connessioni e dei filtri che desideriamo impostare nelle nostre connessioni.

In sostanza Firestarter è utile a tutti coloro che vogliono avere un sistema operativo sicuro senza doversi complicare troppo la vita. Detto questo iptables è sicuramente uno strumento molto più potente.

Installazione

Per installare Firestarter è sufficiente [:InstallareProgrammi:installare] il pacchetto firestarter tramite Synaptic.BR In alternativa si digita nel terminale 

sudo apt-get install firestarter

Dopo l'installazione troverete la nuova voce nel menù Sistema -> Amministrazione -> Firestarter. Se per qualche motivo non dovesse apparire l’icona si può comunque richiamare l’applicazione semplicemente digitando nel terminale 

firestarter

Titolo 2

Configurazione

Wizard

Una volta installato Firestarer è necessario rispondere a delle brevi domande proposte nel wizard. Come prima cosa bisogna scegliere il dispositivo di rete che si vuole configurare. Il wizard scopre automaticamente tutti i dispositivi che sono attualmente presenti sulla vostra macchina. Per esempio potrebbero essere presenti una scheda di rete ethernet e una scheda di rete wireless. In questo caso ci veranno proposte due interfacce di rete. Dovremo scegliere l'interfaccia di rete da configurare o nel caso in cui si volessero configurare tutte il procediemento deve essere ripetuto tante volte quante sono le schede di rete. Inoltre nella stessa schermata è possibile spuntare due caselle. (aggiungere spiegazione caselle)

Successivamente verrà chiesto di attivare una condivisione Internet, utile nel caso in cui si faccia parte di una rete LAN. In caso contrario l'opzione non ci interessa quindi non spuntiamo la casella e procediamo oltre.

A questo punto è possibile salvare la configurazione e concludere il processo del wizard.

Configurazione delle regole

Firestarter è composto da tre schede: Status, Events e Policy.

  • Status: dà informazioni sullo stato del firewall e della connessione.
  • Events: permette di vedere gli eventuali tentativi di accesso bloccati dal firewall.
  • Policy: permette di impostare le regole firewall.

Come prima cosa andiamo a creare le regole relative al traffico in entrata. Controlliamo quindi che sia selezionato Inbound traffic policy. Nella finestra in questione ci sono due caselle distinte: Allow connection from host e Allow service. Per un utilizzo standard ci interessa solo Allow service. All'interno di questa è possibile decidere quali servizi abilitare all'ingresso. Clicchandoquindi con il tasto destro del mouse all’interno di questa finestra selezioniamo dal menù a tendina Add Rule. A questo punto si deve indicare il nome del servizio , in numero della porta da aprire la fonte esterna da abilitare. Per esempio potrebbe essere aMule, la porta 4672 e la fonte everyone.

Possiamo ora passare all’impostazione delle regole per il traffico in uscita: Outbound traffic policy. Dato che utilizziamo un sistema GNU/Linux possiamo limitarci alla policy Permissive by default, blacklist traffic. Lasciamo quindi che qualsiasi applicazione possa liberamente comunicare con l’esterno, eccetto quelle che inseriremo eventualmente nella lista nera. Se volessimo aumentare il livello di sicurezza dovremmo scegliere la policy Restrictive by default, whitelist traffic andando a permettere l'ingresso alle sole applicazioni riportate nella nostra lista secondo un procedimento del tutto simile a quello del traffico in ingresso.

Per rendere immediatamente effettive tutte le modifiche apportate cliccare sul pulsante di conferma Apply Policy.

Policy standard

Supponendo di aver deciso di utilizzare l'opzione Restrictive by default, whitelist traffic in Outbound traffic policy, si riportano le principali regone di uso comune.

In ondine vengono riportati il servizio, la porta e la fonte.

  • HTTP 80 everyone
  • HTTPS 443 everyone
  • FTP 20-21 everyone
  • DNS 53 everyone
  • A seconda del client di posta
    • pop3s 23 everyone
    • SMTP 25 everyone
    • IMAP 143 everyone
  • aMsn 1863-6891 everyone (la porta 6981 per il trasferimento file)
  • aMule
    • aMule 4662-4672 everyone
    • KAD emule 4672 everyone
    • aMule server 4665 everyone

Eventuali dispositivi in rete come per esempio una stampante wireless devo essere abilitati. Ciò significa che dobbiamo permette al nostro SO di comunicare in uscita tramite una specifica porta con il dispositivo. Per esempio si potrebbe dover abilitare in Outbound traffic policy

  • printer 9100 everyone

Mentre in Inbound traffic policy

  • aMule
    • aMule 4662-4672 everyone
    • KAD emule 4672 everyone
    • aMule server 4665 everyone

Quanto riportato per aMule è necessario per ottenere un ID alto di conseguenza non è strettamente necessario al funzionamento del programma stesso.

Condivisione dati

Nello specifico da un computer con Ubuntu accedere ad una directory messa in condivisone su Windows sul cui firewall è stato dato l'accesso all'IP del computer con Ubuntu. Utilizzando la procedura sopra riportata, cercando di accedere alla cartella condivisa di Windows nella lista "Events" apparirà una linea con questi dati: Porta: 137 e Servizio: Samba (SMB). Va anche aggiunto che nella schermata “Status” vedo l'IP del computer Windows del tipo 192.168.1.x. Pertanto andrà aggiunto in “Outbound traffic policy”: 

“Allow connections to host” = 192.168.1.x. 
“Allow service” =  Samba (SMB)  -  “Porta” 137

Non è finita se provo nuovamente ad accedere alla cartella... non ci riuscirò e in “Events” apparirà una linea che contiene dati del tipo: “Porta: 32722” (variabile) e “Servizio: Sun-RPC portmap”. Clic di destro su di essa e selezionare sia “Allow connection from source” che “Allow inbound service from source”. Risulterà “Inbound traffic policy” 

“Allow connections from host: 192.168.1.x”
“Allow service: Sun-RPC portmap  –  Porta: 32722   –  For: 192.168.1.x”

E finalmente possiamo accedere alla cartella condivisa su Windows.

Avvio automatico

Per poter fare in modo che ad ogni avvio Firestarter si avvii automaticamente, la procedura richiede alcuni passi. Infatti è un software che richiede i permessi di root e quindi dovremo fare in modo che all’avvio il sistema operativo non ci richieda ogni volta la password. Cominciamo editando il file che contiene i permessi per il funzionamento di sudo, il comando tramite il quale si acquisiscono temporaneamente i privilegi di amministratore su Ubuntu. Apriamo il nostro terminale e digitiamo 

sudo visudo

Scorriamo la schermata verso il basso con le freccette e posizioniamoci dopo le righe 

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL.

e in quest’area scriveremo 

nomeutente ALL=NOPASSWD:/usr/sbin/firestarter

dove per “nomeutente” si intende il vostro username, quello che usate normalmente per fare il login. Salvate premendo Ctrl+O ed uscite poi con la combinazione di tasti Ctrl+X. Adesso non rimane altro da fare che dire al sistema di far partire Firestarter all’avvio, andando sul menu di Ubuntu ( in questo caso la versione con Gnome)

Titolo 2

testo

Ulteriori risorse

  • risorsa 1
  • risorsa 2

CategoryHomepage