Firewall¶
I file di configurazione per il firewall sono tutti nel formato:
valore:descrizione
con l’eccezione di quello che descrive macchine interne consentite e servizi esterni raggiungibili, che è nella forma:
host:servizio:descrizione
Le righe che iniziano con un # sono considerate commenti e vengono
ignorate, inoltre quanto non compare all’interno del blocco marcato
ANSIBLE MANAGED BLOCK non viene sovrascritto dalla riesecuzione del
comando di installazione del fuss-server.
Se si specifica un host questo deve essere o un nome a dominio o un indirizzo IP, si tenga conto però del fatto che il firewall effettua la risoluzione dell’indirizzo IP al suo avvio, pertanto usare un nome a dominio è rischioso, specie quando ad esso possono corrispondere a diversi indirizzi (ad esempio www.google.com) perché il firewall farà riferimento soltanto a quello risolto in fase di avvio.
Quando si specifica un servizio invece questo deve essere nella forma porta/protocollo (ad esempio 123/udp o 2628/tcp). Si raccomanda di usare le minuscole ed i valori numerici.
La descrizione può essere omessa, verrà comunque inserita una descrizione standard.
I file utilizzati sono i seguenti; vengono abilitati su firewall nella sequenza in cui sono indicati nella tabella (questo significa che un host nel primo file non potrà raggiungere comunque nessun servizio esterno, neanche quelli resi accessibili con gli altri file):
| File | Contenuto | Formato |
|---|---|---|
/etc/fuss-server/firewall-denied-lan-hosts |
Host che non possono raggiungere alcun servizio sulla rete internet | IP-address |
/etc/fuss-server/firewall-allowed-lan-hosts |
Elenco di host che possono accedere ai servizi della rete internet senza alcun filtro e/o limitazione | IP-address |
/etc/fuss-server/firewall-allowed-wan-hosts |
Elenco di host sulla rete internet che possono essere acceduti senza alcun filtro e/o limitazione | IP-address |
/etc/fuss-server/firewall-allowed-wan-services |
Servizi sulla rete internet che possono essere raggiunti senza limitazioni e/o controllo. Devono essere indicate le porte da utilizzare per il servizio | porta/protocollo |
/etc/fuss-server/firewall-external-services |
Servizi offerti dal server sulla rete esterna | porta/protocollo |
/etc/fuss-server/firewall-allowed-wan-host-services |
Servizi sulla rete internet raggiungibili da specifici host della rete interna senza alcun limite. | IP-address:porta/protocollo |
Si ricordi che dopo aver eseguito modifiche manuali sui suddetti file occorre rilanciare il firewall perché esse diventino effettive, con:
/etc/init.d/firewall restart
Nel caso si sia installato anche il Captive Portal il firewall usa
l’ulteriore file /etc/fuss-server/fuss-captive-portal.conf, per ottenere
la rete usata dallo stesso e abilitare gli accessi necessari. Detto file
non deve essere cancellato, pena la mancanza dei suddetti accessi ed il
conseguente non funzionamento del Captive Portal in caso di riavvio del
firewall.
squid (web proxy)¶
Il file /etc/squid3/squid-added-repo.conf permette di aggiungere
siti web all’acl repositories ai quali l’accesso è sempre permesso
senza autenticazione.
I contenuti devono essere della forma:
acl repositories url_regex XXX
dove XXX è l’espressione regolare che rappresenta il sito che
vogliamo abilitare; esempi di sintassi sono presenti in squid.conf,
come:
acl repositories url_regex ^http://.*.debian.org/
e2guardian (filtro contenuti)¶
I file in /etc/e2guardian/lists/ permettono di modificare la
configurazione del filtro contenuti.
Attenzione
il filtro contenuti richiede risorse significative sul server; nelle scuole in cui è già presente una protezione a monte può convenire escludere gli IP della rete locale dal filtraggio aggiungendo a tali file i range dei PC da escludere o i singoli IP se tali PC hanno IP statico.
dhcpd¶
Il file /etc/dhcp/dhcpd-added.conf permette di aggiungere parametri
di configurazione del demone dhcp oltre a quanto gestito dal
fuss-server.
Tale file viene caricato alla fine di /etc/dhcp/dhcpd.conf, e ne
condivide la sintassi.
bind (DNS)¶
Il file /etc/bind/named.added.conf.local permette di aggiungere
parametri di configurazione di bind oltre a quanto gestito dal
fuss-server.
Tale file viene caricato alla fine di /etc/bind/named.conf.local, e ne
condivide la sintassi.