|
Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://www.arcetri.astro.it/science/irlab/doc/library/dns/node1.html
Дата изменения: Thu Apr 6 11:15:28 2000 Дата индексирования: Sat Dec 22 13:19:18 2007 Кодировка: |
La configurazione del PC come firewall ha richiesto due operazioni distinte: l'abilitazione del supporto specifico all'interno del kernel e la creazione di uno script da eseguire durante il boot del sistema operativo.
Per il supporto del firewalling é stato indispensabile ricompilare il kernel con le opzioni appropriate (vedi Tab.1):
In particolare abbiamo abilitato il mascheramento degli indirizzi IP interni, con il risultato che la rete protetta é completamente invisibile dall' esterno ma da essa si puó accedere a tutte le macchine della rete di Arcetri e di Internet. L'operazione di mascheramento degli indirizzi ci evita inoltre di assegnare indirizzi IP validi ai calcolatori della rete locale.
Il setup del firewall viene registrato nel kernel e ad ogni reboot della macchina viene perso. Si ricorre all'uso di uno script che rende le regole permanenti e che viene eseguito durante il caricamento del sistema operativo. I processi che devono essere eseguiti durante l'avvio della macchina e che sono specifici del calcolatore in questione, vengono generalmente avviati dallo script di inizializzazione rc.local. Al file rc.local abbiamo aggiunto le seguenti righe
# start IPMASQ and firewalling
if [ -f /etc/rc.d/rc.firewall ]; then
echo "IP Masquerading"
/bin/sh /etc/rc.d/rc.firewall
fi
Nella directory /etc/rc.d abbiamo creato il file eseguibile rc.firewall che carica i moduli necessari, configura i timeouts ed infine abilita il forwarding ed il masquerading.
Le regole di funzionamento del firewall vengono specificate nelle ultime quattro righe del file:
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -s 192.168.17.0/24 -j MASQ
/usr/sbin/ipmasqadm portfw -f # clear the table
/usr/sbin/ipmasqadm portfw -a -P tcp -L 193.206.155.34 80 -R 192.168.17.164 80
La prima regola determina la politica che il firewall deve intraprendere nei confronti dei pacchetti che non soddisfano a tutte le altre regole della stessa catena (in questo caso quella di forward), mentre la seconda introduce il mascheramento di tutti i pacchetti originati da una qualunque macchina della rete interna. Risulta evidente che il firewall da noi configurato non esegue alcuna regola di filtraggio sui pacchetti in entrata, ma limita il suo operato al mascheramento di quelli in uscita. Questa decisione deriva dal fatto che il gateway della rete protetta é difeso a sua volta dal firewall della rete di Arcetri e la politica generale é in effetti stabilita da quest'ultimo.
Le ultime due regole operano il reindirizzamento delle richieste www provenienti dall'esterno e dirette alla porta 80 del firewall, sulla porta 80 del PC della rete protetta che funziona da server web. Infatti sebbene i PC della rete protetta non siano visibili dall' esterno, risulta comunque possibile accedere ad alcuni servizi forniti da macchine interne. Queste funzionalitá aggiuntive del masquerading sono fornite da alcuni moduli addizionali del kernel e per configurarle si ricorre ad alcuni tools uno dei quali é ipmasqadm. Noi abbiamo compilato come modulo il supporto (sperimentale) per il forwarding dei pacchetti provenienti dall'esterno e destinati a specifiche porte di macchine situate dietro al firewall 1 . Questo modulo viene inserito durante l'esecuzione di rc.firewall.
