÷ƒ’À;è TeX output 2003.11.26:1328‹ÿÿÿÿ Û_2 ý ~? ÕÁ ýZݺóþÖëI½q½qecss2074¼Firew›ÿwmalling–fÑand“Pro˜xy“Server“HO˜WTOŽ¤ ®„ØcÕÁGŽŽ¡ó 1ê± ecrm1000¹Mark–U Grennan,“óqLË ectt1000ºmark@grennan.com’âðu¹v0.80,“F‘ÿ*¸eb.‘q€26,“2000Ž¡Ÿ&°–]éóŒ6 ecss1000½Questo“došGcumento“si“p¸èrop˜one“di“insegnaš¸ère“le“basi“dei“sistemi“rew˜all“e“di“fo˜rnire“alcuni“dettagli“sull'im-Ž¡pšGostazione–Mzdei“rew¸èall“p˜er“ltering“e“p•¸èro“xy–Mzsu“un“sistema“Linux.‘nóAll'indirizzo“óø8‹ ecsi1000¾http://www.grennan.com/Firew¸èall-Ž¡HO¸èWTO.html‘Vñ½€è–U dispšGonibile“una“versione“HTML“di“questo“do˜cumento.ŽŸ(Àœó&Lt$ffffecbx1440ÀIndiceŽ©Øó]fŒ ecbx1000Á1Ž‘ÿIn®>troQÂduzione’€Ó3ŽŽ¤ؼ‘ÿ¹1.1Ž‘%ý¡Commen¸èti‘J‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï3ŽŽ¡‘ÿ1.2Ž‘%ý¡LibGeratoria‘Š‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï3ŽŽ¡‘ÿ1.3Ž‘%ý¡Cop•¸èyrigh“t–U (in“inglese)‘¨3‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï4ŽŽ¡‘ÿ1.4Ž‘%ý¡P•¸èerc“h€é–U ho“scritto“questo“doGcumen¸èto‘ó‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï4ŽŽ¡‘ÿ1.5Ž‘%ý¡Letture‘U aggiun•¸ètiv“e‘‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï4ŽŽ¦Á2Ž‘ÿCapire–Õi“Firew®>all’lGß5ŽŽ¡‘ÿ¹2.1Ž‘%ý¡P•¸èolitic“he–U di“Firew¸èall‘'ó‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï5ŽŽ¡‘%ý¡2.1.1Ž‘EûŸCome–U determinare“una“pšGolitica“p˜er“la“sicurezza‘4™‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï6ŽŽ¡‘ÿ2.2Ž‘%ý¡Tipi–U di“Firew¸èall‘gW‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï6ŽŽ¡‘%ý¡2.2.1Ž‘EûŸFirew•¸èall›U Filtran“ti˜(P“ac“k“et˜Filtering˜Firew“all)‘Ie‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï6ŽŽ¡‘%ý¡2.2.2Ž‘EûŸPro•¸èxy‘U Serv“er‘ á‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï6ŽŽ¡‘%ý¡2.2.3Ž‘EûŸApplication‘U Pro¸èxy‘hÙ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï7ŽŽ¡‘%ý¡2.2.4Ž‘EûŸPro¸èxy‘U SOCKS‘ËÁ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï7ŽŽ¦Á3Ž‘ÿArcš®>hitettura–Õdei“Firew˜all’Bè®7ŽŽ¡‘ÿ¹3.1Ž‘%ý¡Arc¸èhitettura‘U Dial-up‘Ä‹‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï7ŽŽ¡‘ÿ3.2Ž‘%ý¡Arc¸èhitettura–U a“Router“singolo‘i‡‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï8ŽŽ¡‘ÿ3.3Ž‘%ý¡Serv•¸èer›U Pro“xy˜e˜Firew“all‘èw‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï8ŽŽ¡‘ÿ3.4Ž‘%ý¡Congurazioni–U Inš¸èternet“ridondan˜ti‘û‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï9ŽŽ¦Á4Ž‘ÿImpQÂostazione–Õdel“rewš®>all“Lin˜ux“ltran˜te’öõö9ŽŽ¡‘ÿ¹4.1Ž‘%ý¡Requisiti‘U Hardw¸èare‘ {‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï9ŽŽ¦Á5Ž‘ÿRequisiti‘ÕSoft•®>w“are’_¬10ŽŽ¡‘ÿ¹5.1Ž‘%ý¡Selezionare–U un“Kernel‘ög‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?10ŽŽ¡‘ÿ5.2Ž‘%ý¡Selezionare–U un“servš¸èer“pro˜xy‘wW‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?10ŽŽŽŽŒ‹* Û_2 ý ~?Ÿ„€ÕÁGŽÁINDICE’¦]!¹2ŽŽ ÕÁ ýV¯Á6Ž‘ÿPreparare–Õil“sistema“Lin®>ux’5g 10ŽŽ¤ؼ‘ÿ¹6.1Ž‘%ý¡Compilazione–U del“Kernel‘ŒK‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?11ŽŽ¡‘ÿ6.2Ž‘%ý¡Congurazione–U di“due“sc¸èhede“di“rete‘†÷‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?12ŽŽ¡‘ÿ6.3Ž‘%ý¡Congurazione–U degli“indirizzi“di“rete‘Fû‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?12ŽŽ¡‘ÿ6.4Ž‘%ý¡V‘ÿ*¸erica–U del“funzionamen¸èto“della“rete‘1·‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?13ŽŽ¡‘ÿ6.5Ž‘%ý¡Sicurezza–U del“Firew¸èall‘ÒÛ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?15ŽŽ¤ØÁ7Ž‘ÿImpQÂostazione–Õdel“ltraggio“IP“(IPFW‘þ¸øADM)’Ýë16ŽŽ¡8Ž‘ÿImpQÂostazione–Õdel“ltraggio“IP“(IPCHAINS)’Þr)18ŽŽ¡9Ž‘ÿInstallare–Õun“proš®>xy“trasparen˜te“SQUID’ôû20ŽŽ¡10Ž‘ÿInstallare–Õil“proš®>xy“serv˜er“TIS’(~ô20ŽŽ¤ؼ‘ÿ¹10.1Ž‘%ý¡RepGerire–U il“soft•¸èw“are‘/‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?20ŽŽ¡‘ÿ10.2Ž‘%ý¡Compilare–U TIS“FWTK‘!_‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?20ŽŽ¡‘ÿ10.3Ž‘%ý¡Installare–U TIS“FWTK‘=‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?20ŽŽ¡‘ÿ10.4Ž‘%ý¡Congurare–U TIS“FWTK‘Å‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?20ŽŽ¡‘%ý¡10.4.1Ž‘EûŸIl–U le“netpGerm-table‘Ý‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?21ŽŽ¡‘%ý¡10.4.2Ž‘EûŸThe–U /etc/services“le‘·¥‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?24ŽŽ©ØÁ11Ž‘ÿIl–Õproš®>xy“serv˜er“SOCKS’F€ý24ŽŽ¡‘ÿ¹11.1Ž‘%ý¡ImpGostare–U il“servš¸èer“pro˜xy‘¡—‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?24ŽŽ¡‘ÿ11.2Ž‘%ý¡Congurare–U il“Proš¸èxy“Serv˜er‘Zç‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?25ŽŽ¡‘%ý¡11.2.1Ž‘EûŸIl–U le“di“accesso‘L‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?25ŽŽ¡‘%ý¡11.2.2Ž‘EûŸIl–U le“di“instradamen¸èto‘ =‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?26ŽŽ¡‘%ý¡11.2.3Ž‘EûŸDNS–U presenš¸ète“dietro“il“Firew˜all‘Ç]‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?26ŽŽ¡‘ÿ11.3Ž‘%ý¡La•¸èv“orare–U con“un“Proš¸èxy“Serv˜er‘)›‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?27ŽŽ¡‘%ý¡11.3.1Ž‘EûŸUnix‘v‘ÿ\|anzate’Ce28ŽŽ¡‘ÿ¹12.1Ž‘%ý¡Una–U rete“ampia“con“enfasi“sulla“sicurezza‘]‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?28ŽŽ¡‘%ý¡12.1.1Ž‘EûŸImpGostazione–U della“rete‘)•‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?28ŽŽ¡‘%ý¡12.1.2Ž‘EûŸImpGostazione–U del“Pro¸èxy‘¢‘‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?29ŽŽŽŽŒ‹$µ Û_2 ý ~?Ÿ„€ÕÁGŽÁ1.‘ñ8In®>troQÂduzione’~¯œ¹3ŽŽ ÕÁ ýV¯Á13Ž‘ÿSemplicare–Õla“gestione’Ei30ŽŽ¤ؼ‘ÿ¹13.1Ž‘%ý¡T‘ÿ*¸o•Gol›U p“er˜il˜rew¸èall‘Ùw‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?30ŽŽ¡‘ÿ13.2Ž‘%ý¡T‘ÿ*¸oGol‘U generici‘ü‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?31ŽŽ¤ØÁ14Ž‘ÿRaggirare–Õun“rewš®>all“pro˜xy’0¸ 31ŽŽ¡15Ž‘ÿAPPENDICE–ÕA“-“Script“di“esempio’º_31ŽŽ¤ؼ‘ÿ¹15.1Ž‘%ý¡Script–U Rš¸èC“usando“GF˜CC3‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?31ŽŽ¡‘ÿ15.2Ž‘%ý¡GF¸èCC‘U script‘¸‘‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?33ŽŽ¡‘ÿ15.3Ž‘%ý¡Script–U Rš¸èC“senza“GF˜CC‘ký‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?35ŽŽ¤ØÁ16Ž‘ÿAPPENDICE–ÕB“-“Script“R®>C“VPN“pQÂer“la“RedHat’ÁR40ŽŽ¡17Ž‘ÿNota–Õsulla“traduzione’Nœí41ŽŽŸ(ÀœÀ1Ž‘ÁInctropœduzioneŽŸ¿:¹Daš¸èvid–ÞRudder“ha“scritto“la“v˜ersione“originale“di“questo“Firew˜all-HO˜WTO,“oramai“molte“lune“fa,‘Me“v˜orreiŽ© ®ancora–U ringraziarlo“pšGer“a•¸èv“ermi–U p˜ermesso“di“aggiornare“il“suo“la•¸èv“oro.Ž¤ؼV‘ÿ*¸orrei–U inoltre“ringraziare“Ian“Gough“pšGer“la“gen¸ètile“assistenza“prestata“a“co˜desto“autore“dislessico.Ž¡I‘porewš¸èall–p¸hanno“guadagnato“una“grande“p•Gop“olarit€à–p¸come“ultima“no˜vit€à“in“fatto“di“sicurezza“in“In˜ternet.Ž¦Come–úšaccade“pGer“tutte“le“cose“c¸èhe“hanno“successo,‘ µinsieme“alla“fama“sono“iniziate“le“incomprensioni.‘STQuestoŽ¦HOš¸èWTO–U spiegher€à“i“concetti“base“su“cosa“sia“un“rew˜all“e“come“impGostarne“uno.Ž¡P•¸èersonalmen“te–N/sto“utilizzando“il“k¸èernel“2.2.13“e“la“RedHat“6.1“pšGer“lo“svilupp˜o“di“questo“ho¸èwto,‘Œse“quindiŽ¦gli–ô—esempi“qui“presenš¸èti“sono“basati“su“questa“distribuzione.‘OäSe“nella“propria“distribuzione“si“tro˜v‘ÿqÐano“delleŽ¦dierenze,–U inš¸èvito“ad“informarmi“via“email“cos€ì“pro˜vv˜eder€ò“ad“aggiornare“il“doGcumen˜to.ŽŸ#Ãó¥!¢N ecbx1200Ã1.1Ž‘¾Commen tiŽŸMª¹Qualsiasi–ž8commenš¸èto“€è“pi€ù“c˜he“bGen˜v˜en˜uto.‘LÈÁSIETE–)PREGA›ÿ ºTI“DI“COMUNICARE“OGNI“INESA˜T-Ž¦TEZZA–„¤CONTENUT‘ÿ ºA“IN“QUESTO“DOCUMENTO!!!‘Z4¹Sono–ANNI“CA˜USA‘ÿ ºTI“D˜A“AZIONI“INTRAP-Ž¦RESE–5­BASANDOSI“SUL“CONTENUTO“DI“QUESTO“DOCUMENTO¹.–©1Dev¸èe“essere“visto“comeŽ¦un'in¸ètrošGduzione–DÔalle“mo˜dalit€à“di“funzionamenš¸èto“dei“rew˜all“e“dei“pro˜xy“serv˜er.‘lNon“sono,‘He“non“pretendo“diŽ¦esserlo,‘‡ùun–}ÎespšGerto“di“sicurezza.‘ë‰;-)“Sono“solo“una“p˜ersona“c¸èhe“ha“letto“tropp˜o“e“c¸èhe“ama“i“computer“pi€ù“diŽ¦molta–6[altra“genš¸ète.‘g>Vi“prego“di“capire“c˜he“sto“scriv˜endo“questo“doGcumen˜to“pGer“aiutare“la“gen˜te“ad“informarsiŽ¦sull'argomenš¸èto,–U ma“non“sono“pron˜to“a“scommettere“la“mia“vita“sull'accuratezza“del“suo“con˜ten˜uto.ŽŽŽŒ‹N Û_2 ý ~?Ÿ„€ÕÁGŽÁ1.‘ñ8In®>troQÂduzione’~¯œ¹4ŽŽ ÕÁ ýV¯Ã1.3Ž‘¾Cop• yrigh“t–¸(in“inglese)ŽŸMª¹Unless–¡otherwise“stated,‘ôLinš¸èux“HO˜WTO‘ ½doGcumen˜ts“are“cop˜yrigh˜ted“b˜y“their“respGectiv˜e“authors.‘UYLin˜uxŽ¤ ®HO•¸èWTO‘,¾doGcumen“ts›,öma“y˜b•Ge˜repro“duced˜and˜distributed˜in˜whole˜or˜in˜part,‘bìin˜an•¸èy˜medium˜ph“ysical˜orŽ¡electronic,‘0all’j$s¹5ŽŽ ÕÁ ýV¯À2Ž‘ÁCapire–G\i“FirewcallŽŸ¿:¹Un–,rewš¸èall“(parete“tagliafuoGco)“€è“una“struttura“in˜tesa“ad“impšGedire“la“diusione“del“fuo˜co.‘ösNegli“edici“iŽ¤ ®rewš¸èall–ð“sono“i“m˜uri“in“mattone“c˜he“dividono“completamen˜te“le“sezioni.‘CÙIn“un“auto“un“rew˜all“€è“la“pareteŽ¡metallica–U c¸èhe“separa“l'abitacolo“dal“motore.Ž©ؼI‘â‘rewš¸èall–â®di“In˜ternet“sono“in˜tesi“pGer“tenere“le“amme“dell'inferno“di“In˜ternet“fuori“dalla“propria“LAN‘â‘priv‘ÿqÐata,Ž¡oppure–ÌîpGer“conserv‘ÿqÐare“i“memš¸èbri“della“propria“LAN‘ÌËpuri“e“casti“negandogli“l'accesso“a“tutte“le“ten˜tazioni“dellaŽ¡diabGolica‘U In¸èternet.‘q€;-)Ž¦Il–Fvprimo“computer“rewš¸èall“era“un“host“Unix“non“instradan˜te“con“connessioni“a“due“reti“div˜erse.‘lUna“sc˜hedaŽ¡di–§rete“era“connessa“ad“Inš¸èternet“e“l'altra“ad“una“LAN‘§{priv‘ÿqÐata.‘hÑP˜er“raggiungere“In˜ternet“dalla“rete“priv‘ÿqÐata,Ž¡si›|çdo•¸èv“ev‘ÿqÐa˜eettuare˜il˜login˜sul˜serv“er˜rew“all˜(Unix).‘èÖP“oi˜si˜utilizza“v‘ÿqÐano˜le˜risorse˜del˜sistema˜pGer˜accedereŽ¡ad›-ÏIn•¸èternet.‘deP“er˜esempio,‘5¬si˜pGotev‘ÿqÐa˜usare˜X-Windo“ws˜pGer˜lanciare˜il˜bro“wser˜NetscapGe˜nel˜sistema˜rew“all˜eŽ¡p•Goi›0¤esp“ortare˜il˜displa•¸èy˜sulla˜propria˜w“orkstation.‘eWIl˜bro“wser˜in˜funzione˜sul˜rew“all˜a“v“ev‘ÿqÐa˜quindi˜accesso˜adŽ¡en•¸ètram“bGe–U le“reti.Ž¦Questo– tipGo“di“sistema“dual“homed“(un“sistema“con“due“connessioni“di“rete)“€è“una“gran“cosa“se“ci“si“pu€òŽ¡FIDš¸èARE–GàDI“TUTTI“i–Gäpropri“uten˜ti.‘mSi“p•Gotrebb“e–Gäquindi“semplicemen˜te“congurare“un“sistema“Lin˜ux“e“dareŽ¡un–÷¢accounš¸èt“a“c˜hiunque“abbia“bisogno“di“accedere“ad“In˜ternet.‘YCon“questa“impGostazione,‘ Cil“solo“computerŽ¡nella–‘Ópropria“rete“priv‘ÿqÐata“cš¸èhe“sa“qualcosa“del“mondo“esterno“€è“il“rew˜all.‘0gNessuno“pu€ò“scaricare“qualcosa“sullaŽ¡wš¸èorkstation–ÕpGersonale,‘ôûsi“dev˜e“prima“scaricare“un“le“sul“rew˜all“e“pGoi“scaricarlo“dal“rew˜all“nella“propriaŽ¡w¸èorkstation.Ž¦NOT–ÿ*¸A‘O/IMPOR“T“ANTE:–O0il“99%“delle“irruzioni“iniziano“guadagnando“l'accesso“a“livš¸èello“uten˜te“sul“sistema“daŽ¡attaccare.‘q€Pš¸èer–U questo“motiv˜o“non“raccomando“questo“tipGo“di“rew˜all.‘q€Inoltre“€è“molto“limitan˜te.ŽŸ#ÃÃ2.1Ž‘¾P• olitic“he–¸di“Firew allŽŸMª¹Non–U si“creda“cš¸èhe“il“rew˜all“sia“tutto“quello“di“cui“si“ha“bisogno.‘q€ÄPer–“°prima“c›ÿ}/osa“si“de˜cidano“del‘‚Ðle“p˜olitiche‘ÀO¹.Ž¦I–U rew¸èall“sono“usati“con“due“scopi:Ž¤ؼ‘ 9b1.ŽŽŽ‘tenere–U fuori“la“genš¸ète“(w˜orm“/“crac˜k˜er).ŽŸ®‘ 9b2.ŽŽŽ‘tenere–U denš¸ètro“la“gen˜te“(dipGenden˜ti“/“bam˜bini).Ž¡Quando–H7ho“iniziato“a“la•¸èv“orare–H7sui“rewš¸èall“mi“sorpresi“di“scoprire“c˜he“la“compagnia“pGer“la“quale“la˜v˜ora˜v˜o“eraŽ¤ ®pi€ù–U inš¸èteressata“a“º"¹spiareº"“¹i“propri“dipGenden˜ti“c˜he“a“tenere“fuori“dalla“propria“rete“i“crac˜k˜er.Ž¦Almeno–Tnel“mio“stato“(Oklahoma)“i“datori“di“la•¸èv“oro–Thanno“il“diritto“di“cominciare“a“conš¸ètrollare“le“c˜hiamateŽ¡telefonicš¸èhe–U e“l'attivit€à“In˜ternet“non“appšGena“informati“i“propri“dip˜enden¸èti.Ž¦Il–U Grande“F›ÿ*¸ratello“non“€è“il“go•¸èv“erno.‘q€Grande–U F˜ratello“=“Grande“Business.Ž¦Non–ܵmi“si“frainš¸ètenda.‘?La“gen˜te“do˜vrebbGe“la˜v˜orare,‘þšnon“gioGcare“men˜tre“€è“al“la˜v˜oro.‘?E‘Ü’sen˜to“c˜he“l'etica“nelŽ¡la•¸èv“oro–FGsi“sta“sgretolando.‘lComš¸èunque,‘I?ho“osserv‘ÿqÐato“anc˜he“c˜he“i“tipi“del“managemen˜t“sono“i“primi“ad“abusareŽ¡delle–ŽŠregole“da“loro“impGoste.‘¾Ho“visto“con•¸ètin“ui›ŽŠrimpro“v“eri˜diretti˜a˜la“v“oratori˜pGerc“h€é˜cerca“v‘ÿqÐano,‘œåpGer˜andareŽ¡al›Znla•¸èv“oro,‘[Ágli˜itinerari˜dei˜bus˜su˜In“ternet,‘[Áquando˜p•Goi˜gli˜stessi˜manager˜sp“endev‘ÿqÐano˜ore˜cercando˜ristoran¸ètiŽ¡ranati–U o“nighš¸ètclub“pGer“ricev˜ere“pGotenziali“clien˜ti.Ž¦La–‹.mia“soluzione“pšGer“questo“tip˜o“di“abusi“consiste“nel“pubblicare“su“una“pagina“W‘ÿ*¸eb,‘زa“disp˜osizione“diŽ¡cš¸èhiunque,–U i“log“del“rew˜all.Ž¦L'aare–U sicurezza“pu€ò“essere“spa•¸èv“en“toso.‘q€Se–U amministri“un“rew¸èall,“guardati“le“spalle.ŽŽŽŒ‹pn Û_2 ý ~?Ÿ„€ÕÁGŽÁ2.‘ñ8Capire–Õi“Firew®>all’j$s¹6ŽŽ ÕÁ ýV¯Á2.1.1Ž‘#!\Come–Õdeterminare“una“pšQÂolitica“p˜er“la“sicurezzaŽŸMª¹Ho–gjconsultato“divš¸èersa“doGcumen˜tazione“di“riliev˜o“su“come“creare“una“pšGolitica“p˜er“la“sicurezza.‘¨_Dop˜o“anni“diŽŸ ®esp•Gerienza›U p“osso˜adesso˜aermare:–q€non˜si˜creda˜ad˜una˜parola.“Creare˜una˜pGolitica˜€è˜semplice.Ž©ؼ‘ 9b1.ŽŽŽ‘determinare–U quali“servizi“si“ha“bisognoŽ¤®‘ 9b2.ŽŽŽ‘determinare–U il“gruppšGo“di“p˜ersone“c¸èhe“si“vuole“servireŽ¡‘ 9b3.ŽŽŽ‘determinare–U a“quali“servizi“ogni“gruppGo“ha“necessit€à“di“accedereŽ¡‘ 9b4.ŽŽŽ‘pšGer–U ciascun“grupp˜o“descriv¸èere“come“si“p˜otrebb˜e“rendere“sicuro“il“servizioŽ¡‘ 9b5.ŽŽŽ‘scrivš¸èere–U un'espressione“c˜he“renda“tutte“le“altre“forme“di“accesso“una“violazioneŽ¦La–LŠpšGolitica“div•¸èen“ter€à–LŠsempre“pi€ù“complicata“nel“temp˜o,‘NBp˜er€ò“ora“non“si“pro¸èvi“a“coprire“troppi“asp˜etti.‘n£La“siŽŸ ®realizzi–U semplice“e“c¸èhiara.ŽŸ#ÃÃ2.2Ž‘¾Tipi–¸di“Firew allŽŸMª¹Esistono–U due“tipGologie“di“rew¸èall.Ž¦‘ 9b1.ŽŽŽ‘Firew•¸èall›U Filtran“ti˜-˜c“he˜bloGccano˜i˜pacc“hetti˜di˜rete˜selezionati.Ž¡‘ 9b2.ŽŽŽ‘Pro•¸èxy›U Serv“er˜(talv“olta˜detti˜rew“all)˜-˜c“he˜fanno˜le˜connessioni˜di˜rete˜pGer˜v“oi.ŽŸ ÖÁ2.2.1Ž‘#!\Firew•®>all›ÕFiltran“ti˜(P“ac“k“et˜Filtering˜Firew“all)ŽŸMª¹Il›U P•¸èac“k“et˜Filtering˜€è˜il˜tipGo˜di˜rew“all˜presen“te˜nel˜k“ernel˜Lin“ux.Ž©ؼUn–¨krewš¸èall“ltran˜te“funziona“a“liv˜ello“di“rete.‘7ï€È‘¨?pšGermesso“ai“dati“di“lasciare“il“sistema“solo“se“lo“p˜ermettono“leŽ¤ ®regole–÷Pdel“rewš¸èall.‘R;Come“i“pacc˜hetti“arriv‘ÿqÐano“sono“pšGoi“ltrati“in“base“alle“informazioni“sul“tip˜o,‘ sull'indirizzoŽ¡di›U pro•¸èv“enienza,˜sull'indirizzo˜di˜destinazione˜e˜sulle˜pGorte˜con“ten“ute˜in˜ciascuno˜di˜essi.Ž¦Molti–Èrouter“di“rete“hanno“l'abilit€à“di“eettuare“alcuni“servizi“di“rewš¸èall.‘¶wUn“rew˜all“ltran˜te“pu€ò“essereŽ¡pšGensato–ª&come“un“tip˜o“particolare“di“router.‘p’Pš¸èer“questo“motiv˜o“€è“necessaria“una“profonda“conoscenza“dellaŽ¡struttura–U dei“paccš¸èhetti“IP“pGer“la˜v˜orarci.Ž¦P•¸èoic“h€é– ¸sono“analizzati“e“registrati“p•Go“cš¸èhissimi– ¸dati,‘i“rew˜all“ltran˜ti“oGccupano“meno“la“CPU,“e“creano“minorŽ¡latenza–U nella“propria“rete.Ž¦I‘QÑrew•¸èall›Rltran“ti˜non˜forniscono˜un˜con“trollo˜a˜liv“ello˜di˜passw“ord.‘hVGli˜uten“ti˜non˜pGossono˜iden“ticarsi.Ž¡La–åësola“idenš¸ètit€à“c˜he“un“uten˜te“ha“consiste“nel“n˜umero“IP‘åÆassegnato“alla“sua“macc˜hina.‘#áCi€ò“pu€ò“essere“unŽ¡problema–Vse“si“inš¸ètende“usare“DHCP‘A(assegnazione“dinamica“dell'IP).“P˜oic˜h€é“le“regole“sono“basate“sui“n˜umeriŽ¡IP‘ÿ*¸,–!mdoš¸èvranno“essere“aggiustate“non“appGena“saranno“assegnati“n˜uo˜vi“n˜umeri.‘`DNon“saprei“come“automatizzareŽ¡questo‘U proGcesso.Ž¦I‘EÈrew•¸èall›F ltran“ti˜sono˜pi€ù˜trasparen“ti˜pGer˜gli˜uten“ti.‘%L'uten“te˜non˜dev“e˜impGostare˜regole˜nella˜sua˜applicazioneŽ¡pGer–U utilizzare“Inš¸èternet.‘q€Con“la“maggioranza“dei“pro˜xy“serv˜er“questo“non“€è“v˜ero.ŽŸ ÖÁ2.2.2Ž‘#!\Pro•®>xy‘ÕServ“erŽŸMª¹I‘IUProš¸èxy–I”sono“principalmen˜te“usati“pGer“con˜trollare,›†±o“monitorare,˜il“traco.‘NÛAlcuni“pro¸èxy“di“applicazioniŽ¡pGossono–Jwfare“la“cacš¸èhe“dei“dati“ric˜hiesti,‘L™ci€ò“abbassa“le“ric˜hieste“di“banda“e“dimin˜uisce“il“tempšGo“d'accesso“p˜erŽŽŽŒ‹€Ã Û_2 ý ~?Ÿ„€ÕÁGŽÁ3.‘ñ8Arcš®>hitettura–Õdei“Firew˜all’@ÅB¹7ŽŽ ÕÁ ýV¯il–$Ssuccessivš¸èo“uten˜te“c˜he“vuole“accedere“a“quegli“stessi“dati.‘ßInoltre“fornisce“un'evidenza“inequiv˜oGcabile“suŽ¤ ®quan¸èto–U €è“stato“trasferito.Ž©ؼEsistono–U due“tipi“di“proš¸èxy“serv˜er.ŽŸؼ‘ 9b1.ŽŽŽ‘Application–U Proš¸èxy“(Pro˜xy“di“Applicazione)“-“c˜he“fanno“il“la˜v˜oro“al“nostro“pGosto.ŽŸ®‘ 9b2.ŽŽŽ‘Proš¸èxy–U SOCKS“-“c˜he“incroGciano“le“com˜unicazioni.ŽŸ ÖÁ2.2.3Ž‘#!\Application‘ÕPro®>xyŽŸMª¹Il–{%miglior“esempio“€è“quello“di“una“pšGersona“c¸èhe“eettua“un“telnet“su“un“altro“computer“e“p˜oi“da“qui“al“restoŽ¡del–¿1mondo.‘¯´Solo“con“un“proš¸èxy“serv˜er“di“applicazione“il“prošGcesso“€è“automatizzato.‘¯´Non“app˜ena“si“fa“telnetŽ¡vš¸èerso–({l'esterno“il“clien˜t“pGer“prima“cosa“vi“manda“al“pro˜xy‘ÿ*¸.‘bžIl“pro˜xy“pGoi“si“connette“al“serv˜er“c˜he“si“€è“ric˜hiestoŽ¡(il–U mondo“esterno)“e“restituisce“i“dati.Ž¦P•¸èoic“h€é–­i“proš¸èxy“serv˜er“gestiscono“tutte“le“com˜unicazioni,‘)‘pGossono“registrare“qualsiasi“cosa“v˜ogliono“(si“vuole).Ž¡Pš¸èer–K>i“pro˜xy“HTTP‘Jÿ(w˜eb)“ci€ò“pu€ò“includere“qualsiasi“URL‘Jÿc˜he“si“visita,‘ˆÆpGer“i“pro˜xy“FTP‘Jÿqualsiasi“le“siŽ¡scarica.‘ýP•¸èossono›.Manc“he˜ltrare˜parole˜º"¹inappropriateº"˜¹dai˜siti˜c“he˜si˜visitano˜o˜con“trollare˜la˜presenza˜diŽ¡virus.Ž¦Gli–ÈBapplication“proš¸èxy“serv˜er“pGossono“auten˜ticare“gli“uten˜ti.‘BŒPrima“di“eettuare“una“connessione“v˜erso“l'ester-Ž¡no,‘Ê-il–²Äservš¸èer“pu€ò“ric˜hiedere“all'uten˜te,›Ê-pGer“prima“cosa,˜di“eettuare“il“login.‘ŠmAš¸èd“un“utilizzatore“del“w˜eb“ci€òŽ¡compšGorter€à–U la“necessit€à“di“un“login“p˜er“ogni“sito“c¸èhe“desidera“visitare.ŽŸ ÖÁ2.2.4Ž‘#!\Pro®>xy‘ÕSOCKSŽŸMª¹Un–Áèservš¸èer“SOCKS‘ÁÀè“molto“simile“ad“una“v˜ecc˜hia“switc˜h“bGoard.‘@nSemplicemen˜te“incroGcia,‘ßYattra˜v˜erso“il“sistema,Ž¡i–U ca¸èvi“della“propria“connessione“con“un'altra“connessione“esterna.Ž¦La–Œömaggior“parte“dei“servš¸èer“SOCKS‘ŒÃfunziona“solamen˜te“con“connessioni“di“tipGo“TCP‘ŒÃe“come“i“rew˜all“ltran˜tiŽ¡non–U fornisco“l'autenš¸èticazione“degli“uten˜ti.‘q€P˜ossono“com˜unque“registrare“do˜v˜e“si“€è“connesso“ogni“uten˜te.ŽŸ(ÀœÀ3Ž‘ÁArcšchitettura–G\dei“Firew˜allŽŸ¿:¹Si–U pu€ò“strutturare“la“propria“rete“in“un“sacco“di“mošGdi“p˜er“proteggere“il“proprio“sistema“usando“un“rew¸èall.Ž¦Se–R‰si“ha“una“connessione“dedicata“ad“Inš¸èternet“attra˜v˜erso“un“router,‘†Asi“p•Gotrebb“e›R‰collo“care˜il˜router˜direttamen¸èteŽ¡nel–ã/proprio“sistema“rewš¸èall.‘K…Oppure“si“p•Gotrebb“e–ã/passare“attra˜v˜erso“un“h˜ub“(concen˜tratore)“pGer“fornire“serv˜erŽ¡a–U pieno“accesso“fuori“dal“proprio“rew¸èall.ŽŸ#ÃÃ3.1Ž‘¾Arc hitettura‘¸Dial-upŽŸMª¹Probabilmen¸ète– Åsi“sta“facendo“uso“di“un“servizio“dialup,‘6îquale“una“linea“ISDN.“In“questo“caso“si“p•Gotrebb“eŽ¡utilizzare–ëuna“terza“scš¸èheda“di“rete“pGer“fornire“un“DMZ‘êìltrato.‘N#Questo“d€à“il“pieno“con˜trollo“sui“propri“serviziŽ¡In¸èternet–U e“li“separa“dalla“propria“rete“normale.ŽŸؼ‘^zº__________Ž¡‘¿_/\__/\_‘~|–4|¸|“_______________Ž¡– X|‘)ý`|‘>\|‘?¬Sistema“|“(LAN)“|‘N»|Ž¡–?¬/“Internet“\----|“Firewall“|--(HUB)--|“Workstation/s“|Ž¡‘?¬\_– X_“_“_/‘þ°|__________|‘/= |_______________|ŽŽŽŒ‹ŽA Û_2 ý ~?Ÿ„€ÕÁGŽÁ3.‘ñ8Arcš®>hitettura–Õdei“Firew˜all’@ÅB¹8ŽŽ ÕÁ ýV¯‘¿º\/–?¬\/“\/‘9¼d|Ž¤ ®‘hùp(DMZ)Ž¡‘hùp(HUB)Ž©#ÃÃ3.2Ž‘¾Arc hitettura–¸a“Router“singoloŽŸMª¹Caso–in“cui“€è“presenš¸ète,‘,tra“v˜oi“ed“In˜ternet,‘,un“router“o“un“mošGdem.‘uvSe“si“p˜ossiede“il“router“si“p˜otrebb˜eroŽ¡impšGostare–`ealcune“rigide“regole“di“ltraggio,‘£6altrimen¸èti“se“il“router“appartiene“al“proprio“ISP‘ÿ*¸,“si“p˜otrebb˜eŽ¡ric•¸èhiederne‘U l'inserimen“to.ŽŸؼ‘^zº________‘9¼d__________Ž¡‘¿_/\__/\_‘~|–?¬Router“|‘/= |–4|¸|“_______________Ž¡› X|‘)ý`|‘>\|–?¬oppure“|˜(DMZ)˜|“Sistema˜|˜(LAN)˜|‘N»|Ž¡–?¬/“Internet“\----|“Modem‘ X|--(HUB)--|“Firewall“|--(HUB)--|“Workstation/s“|Ž¡‘?¬\_– X_“_“_/–þ°|________|“|“|__________|‘/= |_______________|Ž¡‘¿\/–?¬\/“\/‘hùp|Ž¡’·$(Server)Ž¡’·$(esterno)Ž¦Ã3.3Ž‘¾Serv• er›¸Pro“xy˜e˜Firew“allŽŸMª¹Se–2Äsi“vuole“monitorare“do•¸èv“e–2Äv‘ÿqÐanno“gli“utenš¸èti“della“propria“rete“e“se“la“rete“€è“piccola,‘j-si“pu€ò“in˜tegrare“unŽ¡serv•¸èer›<pro“xy˜nel˜rew“all.‘i#Gli˜ISP‘<qualc“he˜v“olta˜lo˜fanno˜pGer˜stilare˜una˜lista˜degli˜in“teressi˜dei˜propri˜clien“tiŽ¡da–U pGoter“rivš¸èendere“ad“agenzie“di“mark˜eting.Ž©ؼ‘c¹Äº__________Ž¡‘þ°_/\__/\_‘~|–?¬Proxy“/‘ X|‘4|¸_______________Ž¡‘¿|‘)ý`|‘>\|‘?¬Sistema– X|“(LAN)“|‘N»|Ž¡‘ X/–?¬Internet“\----|“Firewall“|--(HUB)--|“Workstation/s“|Ž¡– X\_“_“_“_/‘þ°|__________|‘/= |_______________|Ž¡‘þ°\/–?¬\/“\/Ž¦¹Si–ÙÕpu€ò“colloGcare“il“servš¸èer“pro˜xy“nella“propria“LAN‘Ù³come“si“vuole.‘ÿŸIn“questo“caso“il“rew˜all“do˜vrebbšGe“p˜er€òŽ¡conš¸ètenere–­Ðdelle“regole“c˜he“consen˜tano“la“connessione“ad“In˜ternet,‘Ãüe“pGer“i“servizi“c˜he“in˜tende“fornire,‘Ãüsolo“alŽ¡serv•¸èer›U pro“xy‘ÿ*¸.‘q€In˜questo˜moGdo˜gli˜uten“ti˜pGotranno˜accedere˜ad˜In“ternet˜solamen“te˜attra“v“erso˜il˜pro“xy‘ÿ*¸.ŽŸؼ‘^zº__________Ž¡‘¿_/\__/\_‘~|–4|¸|“_______________Ž¡– X|‘)ý`|‘>\|‘?¬Sistema“|“(LAN)“|‘N»|Ž¡–?¬/“Internet“\----|“Firewall“|--(HUB)--|“Workstation/s“|Ž¡‘?¬\_– X_“_“_/–þ°|__________|“|“|_______________|Ž¡‘¿\/–?¬\/“\/‘sxÈ|‘>\______________Ž¡’­5,|‘þ°|‘I{h|Ž¡’­5,+----|–?¬Server“Proxy“|Ž¡’Çsˆ|______________|ŽŽŽŒ‹ ›S Û_2 ý ~?Ÿ„€ÕÁGŽÁ4.‘ñ8ImpQÂostazione–Õdel“rewš®>all“Lin˜ux“ltran˜te’ôÒŠ¹9ŽŽ ÕÁ ýV¯Ã3.4Ž‘¾Congurazioni–¸Inš ternet“ridondan˜tiŽŸMª¹Se–ë¼si“sta“pšGer“a¸èvviare“un“servizio“simile“a“Y‘ÿ*¸AHOO,“o“forse“Slashdot,‘Ðsi“p˜otrebb˜e“a•¸èv“er–ë¼bisogno“di“organizzare“ilŽ¤ ®sistema–Jutilizzando“router“ridondanš¸èti“e“rew˜all“(consultare“l'High“A‘þã v‘ÿqÐailabilit˜y“Ho˜wT‘ÿ*¸o).‘[ŽUtilizzando“tecnic˜heŽ¡DNS–U round-robin“oppure“load-balancing“di“serv¸èer,“si“pu€ò“creare“un“servizio“100%“uptime.Ž©‡,¡‘¿º_/\__/\_’Â3Ü_/\__/\_Ž¡‘ X|–)ý`|’·´„|“|Ž¡–?¬/› XISP“#1˜\______‘Y:l(WAN)_____/“Partner˜\Ž¡‘?¬\_– X_“_“_/‘~|‘SúÀ(HUB)‘>\\_“_“_“_/Ž¡‘¿\/–?¬\/“\/‘)ý`|‘N»___|____‘>\\/“\/“\/Ž¡‘Y:l__|___‘9¼d|_______‘?¬|Ž¡‘¿_/\__/\_‘>\|_____–?¬|‘/= |Sistema“||‘4|¸______Ž¡– X|‘)ý`|‘¿|›~||“(DMZ)“|Firewall||“(LAN)“|˜|Ž¡–?¬/› XISP“#2˜\--|Router||--(HUB)--|˜(VPN)“||--(HUB)--|“WS/s“|Ž¡‘?¬\_– X_“_“_/“|______|–>\|›þ°|________|“|˜|______|Ž¡‘¿\/–?¬\/“\/‘Y:l|–/= |“|‘>\______Ž¡‘4|¸|‘>ü(Server)‘¿(Server)–~|‘þ°|“|Ž¡– X------“|‘>ü(esterno)–?¬(condivisi)‘þ°+----|Proxy“|Ž¡–?¬|“WS/s“|“|’Ür8|______|Ž¡–?¬|“VPN‘ X|-+Ž¡‘?¬|______|Ž¦¹E'‘ÀÊfacile–Àåcš¸èhe“la“propria“rete“pGossa“sfuggire“di“mano.‘´ÐSi“con˜trolli“ogni“connessione.‘´ÐE'‘ÀÊsucien˜te“un“uten˜teŽ¡con–U un“mošGdem“p˜er“compromettere“la“LAN.ŽŸ(†}À4Ž‘ÁImppœostazione–G\del“rewšcall“Lin˜ux“ltran˜teŽŸèÃ4.1Ž‘¾Requisiti‘¸Hardw areŽŸMª¹I‘irew•¸èall›yltran“ti˜non˜ric“hiedono˜hardw“are˜particolare,‘!gsono˜solo˜un˜pGo'˜pi€ù˜complessi˜di˜un˜semplice˜router.ŽŸؼT‘ÿ*¸utto–U quello“di“cui“si“ha“bisogno“€è:Ž©ʯ‘ 9b1.ŽŽŽ‘un–U 486-D¸èX66“con“32“mega“di“memoriaŽ¤'‘ 9b2.ŽŽŽ‘un–U disco“sso“da“250“mega“(meglio“500)Ž¡‘ 9b3.ŽŽŽ‘connessioni–U di“rete“(Scš¸èhede“LAN,“P˜orte“Seriali,“Wireless?)Ž¡‘ 9b4.ŽŽŽ‘monitor–U e“tastieraŽ¦Con–balcuni“sistemi“utilizzando“la“console“su“pšGorta“seriale,‘eAsi“p˜ossono“pure“eliminare“il“monitor“e“la“tastiera.Ž¤ ®Se–m‚si“ha“bisogno“di“un“servš¸èer“pro˜xy“c˜he“gestisca“parecc˜hio“traco,‘³šsi“do˜vrebbGe“acquistare“il“sistema“pi€ùŽ¡p•Goten¸ète›u0p“ossibile.‘ѱQuesto˜p“erc¸èh€é˜p“er˜ogni˜uten•¸ète˜c“he˜si˜connette˜al˜sistema,‘}4sar€à˜creato˜un˜n“uo“v“o˜proGcesso.Ž¡Se–U si“hanno“50“o“pi€ù“utenš¸èti“suppGongo“c˜he“si“a˜vr€à“bisogno“di:ŽŸ‡,‘ 9b1.ŽŽŽ‘un›U P•¸èen“tium˜IGI˜con˜64˜mega˜di˜memoriaŽ¤'‘ 9b2.ŽŽŽ‘un–U disco“sso“da“2“giga“pGer“salv‘ÿqÐare“tutti“i“logŽ¡‘ 9b3.ŽŽŽ‘due–U connessioni“di“reteŽŽŽŒ‹ ¤+ Û_2 ý ~?Ÿ„€ÕÁGŽÁ5.‘ñ8Requisiti‘ÕSoft•®>w“are’]º4¹10ŽŽ ÕÁ ýV¯‘ 9b4.ŽŽŽ‘monitor–U e“tastieraŽŸèLe–U connessioni“di“rete“pšGossono“essere“di“qualsiasi“tip˜o“(scš¸èhede“NIC,“ISDN“e“anc˜he“moGdem).ŽŸ(Ÿ<À5Ž‘ÁRequisiti‘G\Soft•cw“areŽŸèÃ5.1Ž‘¾Selezionare–¸un“KernelŽŸMª¹Pš¸èer–àcreare“un“rew˜all“ltran˜te“non“€è“necessario“alcun“soft˜w˜are“particolare.‘OBasta“Lin˜ux.‘OAl“momen˜to“stoŽ¤ ®utilizzando–U la“RedHat“6.1.Ž©ؼLa–”1base“del“rewš¸èall“in“Lin˜ux“€è“stata“moGdicata“div˜erse“v˜olte.‘.³Se“si“sta“utilizzando“un“k˜er-Ž¡nel›ëv•¸èecc“hio˜(1.0.x˜o˜preceden“te)˜ci˜si˜proGcuri˜una˜n“uo“v‘ÿqÐa˜copia.‘§áQueste˜v“ersioni˜usano˜ipfw“admŽ¡(Áh•®>ttp://www.xos.nl/lin“ux/ipfw“adm/¹)–U e“non“sono“pi€ù“suppGortate.Ž¦Se–ssi“sta“utilizzando“la“2.2.13“o“pi€ù“recenš¸ète“si“star€à“facendo“uso“di“ipGc˜hains,‘ J‡sviluppato“daŽ¡Áh•®>ttp://www.rustcorp.com/lin“ux/ipQÂc“hains/¹.Ž¦Se›£in•¸èv“ece˜si˜utilizza˜il˜n“uo“v“o˜k“ernel˜2.4˜esiste˜una˜n“uo“v‘ÿqÐa˜utilit“y˜pGer˜il˜rew“all˜con˜div“erse˜n“uo“v“e˜caratteristic“he.Ž¡Scriv¸èer€ò–U presto“qualcosa“a“riguardo.ŽŸ"ücÃ5.2Ž‘¾Selezionare–¸un“servš er“pro˜xyŽŸMª¹Se–U si“vuole“impGostare“un“servš¸èer“pro˜xy“si“a˜vr€à“bisogno“di“uno“dei“seguen˜ti“pacc˜hetti:Ž©=¬‘ 9b1.ŽŽŽ‘SquidŽ¤`Œ‘ 9b2.ŽŽŽ‘The–U TIS“Firew¸èall“T‘ÿ*¸oGolkit“(FWTK)Ž¡‘ 9b3.ŽŽŽ‘SOCKSŽ¦Squid–ÙË€è“un“paccš¸èhetto“eccellen˜te“ed“€è“in“grado“di“sfruttare“il“pro˜xy“trasparen˜te“di“Lin˜ux.‘HdDescriv˜er€ò“di“seguitoŽ¤ ®come–U impGostare“questo“serv¸èer.Ž©ؼAl–A†momenš¸èto“della“stesura“di“questo“doGcumen˜to,‘¼ŸÄNetwork‘X°Asso‘ÿ}/ciates“ºhttp://www.networkassociates.Ž¡com/–ó¹e“T‘ÿ*¸rusted“Information“System“(TIS)‘ñÕsi“sono“uniti,‘ quindi“si“visitino“i“loro“siti“pGer“ot-Ž¡tenere–zªinformazioni“sui“cam•¸èbiamen“ti.‘ âNel–zªfrattempšGo,‘D il“to˜olkit“do¸èvrebb˜e“essere“ancora“disp˜onibile,Ž¡óë ecbi1000Åhttp://www.tis.c–ÿiHom/r“ese“ar“ch/softwar“e/–Õºhttp://www.tis.com/research/software/“¹.Ž¦T‘ÿ*¸rusted–ù×Information“System“ha“reso“dispšGonibile“una“collezione“di“programmi“realizzati“p˜er“facilitare“laŽ¡gestione–¶ôdel“rewš¸èall.‘–ýCon“questi“strumen˜ti“€è“pšGossibile“imp˜ostare“un“daemon“p˜er“ogni“servizio“(WWW,Ž¡telnet,–U ecc.)‘q€cš¸èhe“si“in˜tende“utilizzare.ŽŸ(Ÿ<À6Ž‘ÁPreparare–G\il“sistema“LincuxŽŸ¿:¹Si–Ò·installi“il“sistema“Lin¸èux“nel“mošGdo“pi€ù“compatto“p˜ossibile.‘êDLa“mia“installazione“presen•¸èta“v‘ÿqÐa–Ò·una“congu-Ž¡razione–:`di“tipGo“servš¸èer“quindi“ho“pro˜vv˜eduto“a“disabilitare“i“servizi“non“necessari“nel“le“/etc/inetd.conf.‘h–P˜erŽ¡una–U maggior“sicurezza“si“doš¸èvrebbGero“disinstallare“i“servizi“in˜utili.Ž¦Siccome–¹¿la“maggior“parte“delle“distribuzioni“non“fornisce“in“genere“un“kš¸èernel“ecien˜te“pGer“le“proprie“esigenze,Ž¡sar€à–†]necessario“compilarne“uno“proprio.‘,•Questa“opšGerazione“sarebb˜e“meglio“eettuarla“su“un“computer“div¸èersoŽ¡dal–?rewš¸èall.‘/jSe“si“installa“sul“rew˜all“un“compilatore“C‘>Üe“le“utilit€à,‘y—ci“si“ricordi“di“rim˜uo˜v˜erle“dopGo“a˜v˜erŽ¡completato–U la“congurazione“del“k¸èernel.ŽŽŽŒ‹ ®u Û_2 ý ~?Ÿ„€ÕÁGŽÁ6.‘ñ8Preparare–Õil“sistema“Lin®>ux’4‘¹11ŽŽ ÕÁ ýV¯Ã6.1Ž‘¾Compilazione–¸del“KernelŽŸMª¹Si–Œparta“con“un'installazione“minima“della“propria“distribuzione“Linš¸èux.‘µÅMeno“soft˜w˜are“si“installa“e“menoŽ¤ ®buc•¸èhi,›U bac“kdoGor˜e/o˜bug˜ci˜saranno˜ad˜in“troGdurre˜problemi˜di˜sicurezza˜nel˜proprio˜serv“er.Ž©ؼSi–Yeprenda“un“k¸èernel“stabile.‘~NIo“sto“utilizzando,›ZvpGer“il“mio“sistema,˜la“2.2.13.‘~NQuindi“questa“doGcumen¸ètazioneŽ¡€è–U basata“sulle“sue“impGostazioni.Ž¦€È‘0Nnecessario–0Wricompilare“il“kš¸èernel“di“Lin˜ux“con“le“opzioni“appropriate.‘e=Se“non“si“€è“mai“ricompilato“il“proprioŽ¡kš¸èernel–U prima“d'ora,“si“do˜vrebbGe“leggere“il“Kernel“HO˜WTO,“l'Ethernet“HO˜WTO“e“il“NET-2“HO˜WTO.Ž¦Qui–D?ci“sono“le“impšGostazioni“di“rete“c¸èhe“so“p˜er“certo“come“funzionan¸èti.›kàNe“ho“marcate“alcune“con“un“?.˜Se“siŽ¡€è–Bóinš¸ètenzionati“ad“utilizzarle,‘F–le“si“abilitino“pure.‘kqP˜er“mošGdicare“le“imp˜ostazioni“del“mio“kš¸èernel“utilizzo“mak˜eŽ¡men¸èucong.ŽŸ~+‘þ°º<*>–?¬Packet“socketŽ¡‘þ°[–?¬]“Kernel/User“netlink“socketŽ¡‘þ°[*]–?¬Network“firewallsŽ¡‘þ°[–?¬]“Socket“FilteringŽ¡‘þ°<*>–?¬Unix“domain“socketsŽ¡‘þ°[*]–?¬TCP/IP“networkingŽ¡‘þ°[–?¬]“IP:“multicastingŽ¡‘þ°[*]–?¬IP:“advanced“routerŽ¡‘þ°[–?¬]“IP:“kernel“level“autoconfigurationŽ¡‘þ°[*]–?¬IP:“firewallingŽ¡‘þ°[?]–?¬IP:“always“defragment“(required“for“masquerading)Ž¡‘þ°[?]–?¬IP:“transparent“proxy“supportŽ¡‘þ°[?]–?¬IP:“masqueradingŽ¡‘þ°---–?¬Protocol-specific“masquerading“support“will“be“built“as“modules.Ž¡‘þ°[?]–?¬IP:“ICMP“masqueradingŽ¡‘þ°---–?¬Protocol-specific“masquerading“support“will“be“built“as“modules.Ž¡‘þ°[–?¬]“IP:“masquerading“special“modules“supportŽ¡‘þ°[*]–?¬IP:“optimize“as“router“not“hostŽ¡‘þ°<–?¬>“IP:“tunnelingŽ¡‘þ°<–?¬>“IP:“GRE“tunnels“over“IPŽ¡‘þ°[?]–?¬IP:“aliasing“supportŽ¡‘þ°[*]–?¬IP:“TCP“syncookie“support“(not“enabled“per“default)Ž¡‘þ°---–?¬(it“is“safe“to“leave“these“untouched)Ž¡‘þ°<–?¬>“IP:“Reverse“ARPŽ¡‘þ°[*]–?¬IP:“Allow“large“windows“(not“recommended“if“<16Mb“of“memory)Ž¡‘þ°<–?¬>“The“IPv6“protocol“(EXPERIMENTAL)Ž¡‘þ°---Ž¡‘þ°<–?¬>“The“IPX“protocolŽ¡‘þ°<–?¬>“Appletalk“DDPŽ¡‘þ°<–?¬>“CCITT“X.25“Packet“Layer“(EXPERIMENTAL)Ž¡‘þ°<–?¬>“LAPB“Data“Link“Driver“(EXPERIMENTAL)Ž¡‘þ°[–?¬]“Bridging“(EXPERIMENTAL)Ž¡‘þ°[–?¬]“802.2“LLC“(EXPERIMENTAL)Ž¡‘þ°<–?¬>“Acorn“Econet/AUN“protocols“(EXPERIMENTAL)Ž¡‘þ°<–?¬>“WAN“routerŽ¡‘þ°[–?¬]“Fast“switching“(read“help!)Ž¡‘þ°[–?¬]“Forwarding“between“high“speed“interfacesŽ¡‘þ°[–?¬]“PU“is“too“slow“to“handle“full“bandwidthŽŽŽŒ‹ »  Û_2 ý ~?Ÿ„€ÕÁGŽÁ6.‘ñ8Preparare–Õil“sistema“Lin®>ux’4‘¹12ŽŽ ÕÁ ýV¯‘þ°ºQoS–?¬and/or“fair“queueing‘ X--->ŽŸŒ¹DopGo›bca•¸èv“er˜completato˜tutte˜le˜impGostazioni˜sar€à˜necessario˜ricompilare,‘e³reinstallare˜il˜k“ernel˜e˜ria“vviare.‘™HIoŽ¤ ®utilizzo–U il“comando:ŽŸؼmak•¸èe›ïdep;mak“e˜clean;mak“e˜bzlilo;mak“e˜moGdules;mak“e˜mo•Gdules_install;init˜6˜p“er˜fare˜tutto˜in˜un˜colp“o˜solo.Ž©"¸~Ã6.2Ž‘¾Congurazione–¸di“due“sc hede“di“reteŽŸMª¹Se–¥œil“proprio“computer“pGossiede“due“scš¸èhede“di“rete,‘È·molto“probabilmen˜te“sar€à“necessario“inserire“un'istruzioneŽ¡appšGend–—Änel“proprio“le“/etc/lilo.conf,‘¨mp˜er“sp˜ecicare“l'IRš¸èQ‘—³e“l'indirizzo“di“en˜tram˜bGe“le“sc˜hede.‘9kL'istruzioneŽ¡presenš¸ète–U nel“mio“lilo“€è“la“seguen˜te:ŽŸ2ºappend="ether=12,0x300,eth0‘?¬ether=15,0x340,eth1"Ž¦Ã6.3Ž‘¾Congurazione–¸degli“indirizzi“di“reteŽŸMª¹Siamo–Kôarriv‘ÿqÐati“nalmenš¸ète“alla“parte“pi€ù“div˜erten˜te“dell'impšGostazione.‘ UýNon“sto“p˜er“adden¸ètrarmi“adŽ¡approfondire–U come“impšGostare“una“LAN,“p˜er“risolvš¸èere“ev˜en˜tuali“problemi“si“legga“il“Net˜w˜orking-HO˜WTO.Ž©ؼL'obiettivš¸èo–Œ€è“di“fornire“il“sistema“rew˜all“di“due“connessioni“di“rete,‘una“diretta“v˜erso“In˜ternet“(v˜ersan˜te“nonŽ¡sicuro)–U e“una“vš¸èerso“la“LAN“(v˜ersan˜te“sicuro).Ž¦A¸èd–U ogni“moGdo,“ci“sono“un“paio“di“decisioni“da“prendere.Ž¤Œ‘ 9b1.ŽŽŽ‘Si–U v¸èogliono“utilizzare“pšGer“la“propria“rete“lo˜cale“indirizzi“IP“reali“o“qualcosa“di“dieren¸ète“?ŽŸÂΑ 9b2.ŽŽŽ‘L'indirizzo–U IP“€è“statico“oppure“€è“assegnato“dall'ISP“?Ž¡Dal–ìmomenš¸èto“c˜he“non“si“desidera“c˜he“In˜ternet“abbia“accesso“ad“alcuna“parte“della“rete“priv‘ÿqÐata,‘QÂnon“€èŽ¤ ®necessario–ÝÚutilizzare“degli“º"¹indirizzi“realiº"¹.‘I¾Si“p•Gotrebb“ero–ÝÚprendere“degli“indirizzi“qualsiasi“pGer“la“propria“reteŽ¡LAN,–ß÷ma“ci€ò“non“€è“raccomandato.‘JsSe“i“dati“do•¸èv“essero–ß÷essere“instradati“fuori“dalla“LAN,“p•Gotrebb“ero‘ß÷giungereŽ¡ad–U una“pGorta“di“un“altro“sistema.Ž¦Esistono–U comš¸èunque“molti“in˜terv‘ÿqÐalli“di“indirizzi“in˜ternet“riserv‘ÿqÐati“appGositamen˜te“pGer“le“reti“priv‘ÿqÐate.Ž¦T‘ÿ*¸ra–U questi“c'€è“192.168.1.xxx“c¸èhe“utilizzeremo“nei“nostri“esempi.Ž¦Sar€à–ìóinoltre“necessario“utilizzare“l'IP‘ìÌmasquerading.‘8øCon“questo“proGcedimenš¸èto“il“rew˜all“far€à“proseguire“iŽ¡paccš¸èhetti–U e,“pGer“farli“viaggiare“in“In˜ternet,“li“moGdic˜her€à“utilizzando“un“indirizzo“IP“º"¹REALEº"¹.Ž¦Utilizzando–]Ïquesti“indirizzi“IP›]non-instradabili“la“propria“rete“sar€à“pi€ù“sicura.‘I˜router“inš¸èternet“non“in˜vierannoŽ¡pacc¸èhetti–U con“questi“indirizzi.Ž¦A–U questo“punš¸èto“p•Gotrebb“e–U essere“utile“leggere“l'IP“Masquerading“HO˜WTO.Ž©Œ‘>üº24.94.1.123‘ X__________‘þ°192.168.1.1Ž¡‘~_/\__/\_‘)ý`\–?¬|‘4|¸|“/‘9¼d_______________Ž¡‘>\|–)ý`|“\|‘?¬Sistema‘ X|/‘9¼d|‘N»|Ž¡‘þ°/–?¬Internet“\--------|“Firewall“|------------|“Workstation/s“|Ž¡‘þ°\_– X_“_“_/‘)ý`|__________|‘>ü|_______________|Ž¡‘~\/–?¬\/“\/Ž¦¹E'›w^necessario–wgpGossedere“un“indirizzo“IP˜º"¹realeº"“¹da“assegnare“alla“scš¸èheda“di“rete“corrispGonden˜te“ad“In˜ternet.Ž¡Questo–¼`indirizzo“pu€ò“essere“assegnato“in“mošGdo“p˜ermanenš¸ète“(indirizzo“IP‘¼Estatico)“oppure“al“momen˜to“dellaŽ¡connessione–U alla“rete“attra•¸èv“erso–U il“proGcesso“PPP‘ÿ*¸.ŽŽŽŒ‹ Å” Û_2 ý ~?Ÿ„€ÕÁGŽÁ6.‘ñ8Preparare–Õil“sistema“Lin®>ux’4‘¹13ŽŽ ÕÁ ýV¯Si–1Ido¸èvranno“quindi“assegnare“gli“indirizzi“IP‘1@alla“rete“loGcale,›8tad“esempio,˜192.168.1.1“alla“sc¸èheda“di“rete“cor-Ž¤ ®rispGondenš¸ète–á|alla“LAN.“Questo“sar€à“il“gatew˜a˜y“di“default.‘JôA‘á_tutte“le“altre“macc˜hine“nella“rete“protetta“(LAN)Ž¡si–U pGotr€à“assegnare“un“nš¸èumero“appartenen˜te“all'in˜terv‘ÿqÐallo“192.168.1.xxx“(da“192.168.1.2“a“192.168.1.254).Ž©ؼIo–.²utilizzo“la“RedHat“Lin•¸èux.‘d±P“er–.²congurare“la“rete“al“momenš¸èto“del“b•Go“ot–.²ho“aggiun˜to“un“le“ifcfg-eth1“nellaŽ¡directory›@/etc/syscong/net•¸èw“ork-scripts.‘jxSempre˜in˜questa˜directory˜si˜p•Gotrebb“ero˜tro•¸èv‘ÿqÐare˜anc“he˜ifcfg-ppp0Ž¡o–ž”ifcfg-tr0.‘MÝQuesti“le“'ifcfg-'“sono“utilizzati“dalla“RedHat“pšGer“congurare“e“abilitare“i“disp˜ositivi“di“rete“alŽ¡b•Go“ot.‘q€Il–U nome“€è“assegnato“in“base“al“tipGo“di“connessione.Ž¦Segue,–U come“esempio,“ifcfg-eth1“(seconda“sc¸èheda“ethernet):Ž©ؼ‘þ°ºDEVICE=eth1Ž¡‘þ°IPADDR=192.168.1.1Ž¡‘þ°NETMASK=255.255.255.0Ž¡‘þ°NETWORK=192.168.1.0Ž¡‘þ°BROADCAST=192.168.1.255Ž¡‘þ°GATEWAY=24.94.1.123Ž¡‘þ°ONBOOT=yesŽ¦¹Se–ÅÞsi“sta“pšGer“utilizzare“una“connessione“dialup“si“dia“un'o˜ccš¸èhiata“ai“le“ifcfg-ppp0“e“c˜hat-ppp0.‘ûQuesti“leŽ¡con¸ètrollano–U la“connessione“PPP‘ÿ*¸.ŽŸؼQuesto–U le“ifcfg“p•Gotrebb“e–U essere“simile“a:Ž¦‘þ°ºDEVICE="ppp0"Ž¡‘þ°ONBOOT="yes"Ž¡‘þ°USERCTL="no"Ž¡‘þ°MODEMPORT="/dev/modem"Ž¡‘þ°LINESPEED="115200"Ž¡‘þ°PERSIST="yes"Ž¡‘þ°DEFABORT="yes"Ž¡‘þ°DEBUG="yes"Ž¡‘þ°INITSTRING="ATZ"Ž¡‘þ°DEFROUTE="yes"Ž¡‘þ°HARDFLOWCTL="yes"Ž¡‘þ°ESCAPECHARS="no"Ž¡‘þ°PPPOPTIONS=""Ž¡‘þ°PAPNAME="LoginID"Ž¡‘þ°REMIP=""Ž¡‘þ°NETMASK=""Ž¡‘þ°IPADDR=""Ž¡‘þ°MRU=""Ž¡‘þ°MTU=""Ž¡‘þ°DISCONNECTTIMEOUT=""Ž¡‘þ°RETRYTIMEOUT="5"Ž¡‘þ°BOOTPROTO="none"ŽŸ#ÃÃ6.4Ž‘¾V‘þàerica–¸del“funzionamen to“della“reteŽŸMª¹Si–û`cominci“impartendo“i“comandi“ifcong“e“route.‘d@Se“si“pGossiedono“due“sc¸èhede“di“rete“l'output“di“ifcongŽ¡doš¸èvrebbGe–U essere“simile“al“seguen˜te:ŽŽŽŒ‹Ò÷ Û_2 ý ~?Ÿ„€ÕÁGŽÁ6.‘ñ8Preparare–Õil“sistema“Lin®>ux’4‘¹14ŽŽ ÕÁ ýV¯‘ Xº#ifconfigŽ¤ ®‘ Xlo‘)ý`Link–?¬encap:Local“LoopbackŽ¡‘>üinet‘?¬addr:127.0.0.1‘ XMask:255.0.0.0Ž¡‘>üUP–?¬LOOPBACK“RUNNING– XMTU:3924“Metric:1Ž¡‘>üRX–?¬packets:1620“errors:0“dropped:0“overruns:0Ž¡‘>üTX–?¬packets:1620“errors:0“dropped:0“overruns:0Ž¡‘>ücollisions:0‘?¬txqueuelan:0Ž¡¡› Xeth0‘~Link–?¬encap:10Mbps“Ethernet˜HWaddr“00:00:09:85:AC:55Ž¡‘>üinet–?¬addr:24.94.1.123“Bcast:24.94.1.255‘ XMask:255.255.255.0Ž¡‘>üUP–?¬BROADCAST“RUNNING“MULTICAST– XMTU:1500“Metric:1Ž¡‘>üRX–?¬packets:1000“errors:0“dropped:0“overruns:0Ž¡‘>üTX–?¬packets:1100“errors:0“dropped:0“overruns:0Ž¡‘>ücollisions:0‘?¬txqueuelan:0Ž¡‘>üInterrupt:12–?¬Base“address:0x310Ž¡¡› Xeth1‘~Link–?¬encap:10Mbps“Ethernet˜HWaddr“00:00:09:80:1E:D7Ž¡‘>üinet‘?¬addr:192.168.1.1– XBcast:192.168.1.255“Mask:255.255.255.0Ž¡‘>üUP–?¬BROADCAST“RUNNING“MULTICAST– XMTU:1500“Metric:1Ž¡‘>üRX–?¬packets:1110“errors:0“dropped:0“overruns:0Ž¡‘>üTX–?¬packets:1111“errors:0“dropped:0“overruns:0Ž¡‘>ücollisions:0‘?¬txqueuelan:0Ž¡‘>üInterrupt:15–?¬Base“address:0x350Ž¤ؼ¹menš¸ètre–U la“propria“tabGella“di“instradamen˜to“do˜vrebbGe“essere:Ž¡‘ Xº#route‘?¬-nŽ¤ ®‘ XKernel–?¬routing“tableŽ¡‘ XDestination‘>\Gateway–/= Genmask“Flags–?¬MSS‘þ°Window“Use“IfaceŽ¡‘ X24.94.1.0›$½´*‘N»255.255.255.0–¿U‘>\1500“0˜15‘?¬eth0Ž¡‘ X192.168.1.0–>\*‘N»255.255.255.0›¿U“1500˜0‘)ý`0‘?¬eth1Ž¡‘ X127.0.0.0–$½´*‘N»255.0.0.0“U‘>\3584‘¿0‘)ý`2‘?¬loŽ¡‘ Xdefault‘/= 24.94.1.123‘>\*‘N»UG‘þ°1500‘¿0‘$½´72‘?¬eth0ŽŸؼÁNota:‘q€¹24.94.1.0–U €è“il“lato“Inš¸èternet“di“questo“rew˜all“e“192.168.1.0“€è“il“lato“priv‘ÿqÐato.Ž©ؼOra–ÌÞ€è“necessario“assicurarsi“cš¸èhe“ogni“computer“della“propria“LAN‘Ì¿sia“in“grado“di“eettuare“dei“ping“v˜ersoŽ¡l'indirizzo–œ÷inš¸èterno“del“sistema“rew˜all“(192.168.1.1“in“questo“caso).‘ISe“non“€è“pGossibile,‘®ísi“passi“n˜uo˜v‘ÿqÐamen˜teŽ¡al–U NET-2“HOš¸èWTO“e“si“la˜v˜ori“ancora“un“pGo'“sulla“rete.Ž¦Dop•Go“dic•¸èh€é,› ’dal‘÷ârew“all,˜si›÷âpro“vi˜ad˜eettuare˜un˜ping˜ad˜un˜sistema˜presen“te˜in˜In“ternet.‘YÅP“er˜i˜miei˜testŽ¡utilizzo–«Íwww.inš¸èternic.net.‘u‡Se“non“funziona,‘Áxpro˜v‘ÿqÐare“con“un“serv˜er“del“proprio“ISP‘ÿ*¸.“Se“ancora“non“funzionaŽ¡allora–†zparte“della“propria“connessione“ad“Inš¸èternet“€è“errata.‘,ŸSi“do˜vrebbGe“essere“in“grado“di“connettersi“o˜vunqueŽ¡in–CWInš¸èternet“dal“proprio“rew˜all.‘k’Si“dia“un'oGcc˜hiata“all'impGostazione“del“proprio“gatew˜a˜y“di“default.‘k’Se“si“staŽ¡utilizzando–ܺuna“connessione“dialup“si“faccia“un“doppio“conš¸ètrollo“della“user“ID‘Ü—e“della“passw˜ord.‘OQuindi“siŽ¡rilegga–U il“net-2“HOš¸èWTO,“e“si“ripro˜vi.Ž¦Ora– êsi“proš¸èvi“ad“eettuare“un“ping“v˜erso“l'indirizzo“esterno“del“rew˜all“(24.94.1.123)“utilizzando“un“computerŽ¡della– Èpropria“LAN.“Non“doš¸èvrebbGe“funzionare.‘ÔxSe“funziona“allora“il“masquerading“o“l'IP‘ “F‘ÿ*¸orw˜arding“sonoŽ¡abilitati,‘£ oppure–“vsi“ha“gi€à“qualcš¸èhe“ltro“di“pacc˜hetti“impGostato.‘,Li“si“disabilitino“e“si“ripro˜vi.‘,E'‘“fnecessarioŽ¡assicurarsi–U c¸èhe“il“ltraggio“sia“a“pGosto.Ž¦Pš¸èer–U i“k˜ernel“pi€ù“recen˜ti“della“2.1.102“si“pu€ò“impartire“il“comando:ŽŽŽŒ‹Û[ Û_2 ý ~?Ÿ„€ÕÁGŽÁ6.‘ñ8Preparare–Õil“sistema“Lin®>ux’4‘¹15ŽŽ ÕÁ ýV¯‘þ°ºecho–?¬"0"“>“/proc/sys/net/ipv4/ip_forwardŽŸؼ¹Se–¾”si“sta“utilizzando“un“v•¸èecc“hio›¾”k“ernel˜(PER“CH€É‘¾x?)˜sar€à˜necessario˜ricompilare˜il˜k“ernel˜con˜il˜forw“ardingŽ¤ ®disabilitato–U (meglio“passare“ad“un“kš¸èernel“pi€ù“recen˜te).Ž©ؼSi–†(proš¸èvi“ad“eettuare“di“n˜uo˜v˜o“un“ping“v˜erso“l'indirizzo“esterno“del“rew˜all“(24.94.1.123),‘Òjnon“do˜vrebbGeŽ¡funzionare.Ž¦Ora–.Ýsi“abiliti“l'IP‘.¤forwš¸èarding“e/o“il“masquerading,‘eLsi“do˜vrebbGe“essere“in“grado,‘eLda“qualsiasi“sistema“dellaŽ¡LAN,–U di“eettuare“dei“ping“oš¸èvunque“in“In˜ternet:Ž¤ؼ‘þ°ºecho–?¬"1"“>“/proc/sys/net/ipv4/ip_forwardŽ¡ÁNOT–ÿ ºA‘ýÅIMPOR“T“ANTE:–š¹Se“si“utilizzano“indirizzi“IP›™ãº"¹REALIº"“¹pGer“la“propria“LAN˜(non“192.168.1.*)“e“nonŽ¤ ®si–š‚riescono“ad“eettuare“i“ping“vš¸èerso“in˜ternet,‘«Ûma“solo“v˜erso“il“lato“in˜ternet“del“rew˜all,‘«Ûallora“ci“si“assicuriŽ¡cš¸èhe–U il“proprio“ISP“instradi“i“pacc˜hetti“pGer“gli“indirizzi“della“propria“rete“priv‘ÿqÐata.Ž¦Un–âµtest“di“questo“problema“pu€ò“essere“eettuato“se“si“ha“qualcuno“in“Inš¸èternet“(diciamo“un“amico“c˜he“utilizzaŽ¡un–AËproš¸èvider“loGcale)“attra˜v˜erso“l'utilizzo“del“traceroute“v˜erso“la“propria“rete.‘kSe“il“tracciamen˜to“si“bloGcca“conŽ¡il–U router“del“proprio“proš¸èvider“allora“signica“c˜he“il“router“non“inoltra“il“proprio“traco.Ž¦F‘ÿ*¸unziona›U ?–q€Splendido.“La˜fase˜pi€ù˜ardua˜€è˜compiuta.“:-)ŽŸ#ÃÃ6.5Ž‘¾Sicurezza–¸del“Firew allŽŸMª¹Un–ôrewš¸èall“non“€è“di“nessuna“utilit€à“se“lasciato“apGerto“agli“attacc˜hi.‘QPUn“º"¹malin˜tenzionatoº"“¹p•Gotrebb“e‘ôottenereŽ¡l'accesso–U ad“un“servizio“non“del“rew¸èall“e“moGdicarlo“secondo“le“proprie“esigenze.Ž¦Date– un'ošGcc¸èhiata“al“le“/etc/inetd.conf,‘/àutilizzato“p˜er“congurare“inetd,‘/ànoto“anc¸èhe“come“º"¹sup˜er“serv¸èerº"¹.Ž¡Esso–¹conš¸ètrolla“parecc˜hi“demoni“c˜he“attiv‘ÿqÐa“nel“momen˜to“in“cui“sono“ric˜hiesti“da“pacc˜hetti“c˜he“arriv‘ÿqÐano“direttiŽ¡vš¸èerso–U pGorte“º"¹noteº"“¹(º"¹w˜ell“kno˜wn“pGortº"¹).Ž¦Si–6¢pGossono“disabilitare“ecš¸èho,–odiscard,“da˜ytime,“c˜hargen,“ftp,“gopher,“shell,“login,“exec,“talk,“n˜talk,“pGop-2,Ž¡pšGop-3,–U netstat,“systat,“tftp,“b˜o˜otp,“nger,“cnger,“time,“swš¸èat“e“lin˜uxcong“se“presen˜te.Ž¦Pš¸èer–‚Vdisabilitare“un“servizio,‘¬si“aggiunga“un“#“come“primo“carattere“della“linea“corrispGonden˜te“al“servizio.‘+=UnaŽ¡vš¸èolta–Llconcluso,‘N*si“in˜vii“un“SIG-HUP‘Ljal“proGcesso“impartendo“º"Ákill‘Ë-HUP‘Ëó  b> cmmi10µ<Ápidµ>º"¹,‘N*do˜v˜e“µ<¹pidµ>“¹€è“il“n˜umeroŽ¡del–SproGcesso“di“inetd.‘pÒQuesto“comando“obbliga“inetd“a“rileggere“il“suo“le“di“congurazione“(inetd.conf‘Ç)“e“aŽ¡riaš¸èvviarsi–U senza“do˜v˜er“spGegnere“il“sistema.Ž¦Si–îfaccia“un“test“eettuando“un“telnet“alla“pGorta“15“(netstat)“del“rew¸èall,‘)Åse“si“ottiene“dell'output“allora“nonŽ¡si–U €è“disabilitato“questo“servizio.Ž¦telnet–U loGcalhost“19Ž¦Si–Üpu€ò“inoltre“creare“il“le“/etc/nologin.›I*Si“inserisca“qualc¸èhe“linea“di“testo“tipGo“(FILA‘ÛþVIA!).˜Quando“questoŽ¡le–\õesiste,‘^êlogin“non“consenš¸ètir€à“agli“uten˜ti“di“connettersi.‘ˆÿEssi“v˜edranno“il“con˜ten˜uto“di“questo“le“ed“il“loroŽ¡login–U sar€à“riutato.‘q€Solo“rošGot“p˜otr€à“accedere.Ž¦Se–ãl'utenš¸ète“€è“roGot“allora“il“login“dev˜e“a˜vv˜enire“su“una“delle“tt˜y“elencate“in“/etc/securett˜y–ÿ*¸.‘]F“allimen˜ti‘ãsarannoŽ¡registrati–Þcon“l'appGosita“funzione“del“syslog.‘4jCon“presenš¸èti“en˜tram˜bi“questi“con˜trolli“l'unico“mošGdo“p˜er“accedereŽ¡al–U rewš¸èall“€è“attra˜v˜erso“la“console“e“solo“come“roGot.Ž¦MAI›Õe–Õ pGoi“MAI˜eettuare“un“telnet“vš¸èerso“un“sistema“e“accedere“come“R˜OOT.“Se“€è“necessario“accedere“inŽ¡remoto–U come“rošGot“utilizzare“SSH“(Secure“Shell).‘q€Si“p˜otrebb˜e“p˜erno“disabilitare“il“telnet.Ž¦Se–3si“€è“da•¸èvv“ero–3paranoici“allora“si“doš¸èvrebbGe“utilizzare“lids“(Lin˜ux“In˜trusion“Detect“System),‘4÷una“patc˜h“diŽ¡scopšGerta–Pdelle“in¸ètrusioni“p˜er“il“kš¸èernel“Lin˜ux;‘[épu€ò“proteggere“le“impGortan˜ti“evitando“c˜he“siano“moGdicati.ŽŽŽŒ‹èV Û_2 ý ~?Ÿ„€ÕÁGŽÁ7.‘ñ8ImpQÂostazione–Õdel“ltraggio“IP“(IPFW‘þ¸øADM)’܇¹16ŽŽ ÕÁ ýV¯Quando–Û¸€è“presenš¸ète,‘ý^nessuno“(incluso“roGot)“pu€ò“cam˜biare“i“le,‘ý^le“directory“o“sotto-directory“protette.‘IP˜erŽ¤ ®mošGdicare–@ki“le“protetti“€è“necessario“ria¸èvviare“il“sistema“con“l'imp˜ostazione“securitš¸èy=1“nel“LILO‘@f(ria˜vvio“inŽ¡single–U user“moGde).ŽŸ(„¢À7Ž‘ÁImppœostazione–G\del“ltraggio“IP“(IPFW‘þ=‹ADM)ŽŸ¿:¹Se–U si“sta“utilizzando“un“kš¸èernel“2.1.102“o“pi€ù“recen˜te“passare“alla“sezione“riguardan˜te“IPCHAINS.ŽŸؼNei›æv•¸èecc“hi˜k“ernel˜l'IP‘ÕF‘ÿ*¸orw“arding˜€è˜abilitato˜pGer˜default.‘[ÂP“er˜questo˜motiv“o˜la˜propria˜rete˜do“vrebbGe˜comin-Ž¡ciare–ìÈvietando“l'accesso“a“cš¸èhiunque“e“cancellando“tutte“le“regole“impGostate“l'ultima“v˜olta.‘N¸Questo“frammen˜toŽ¡di–U script“do¸èvrebbšGe“essere“collo˜cato“nello“script“di“startup“della“propria“rete“(/etc/rc.d/init.d/net•¸èw“ork).Ž©|d‘ Xº#Ž¡‘ X#–?¬Imposta“IP“packet“Accounting“e“ForwardingŽ¡‘ X#Ž¡‘ X#‘¿ForwardingŽ¡‘ X#Ž¡‘ X#–?¬Di“default“NEGA“tutti“i“serviziŽ¡‘ Xipfwadm–?¬-F“-p“denyŽ¡‘ X#–?¬Cancella“tutti“i“comandiŽ¡‘ Xipfwadm–?¬-F“-fŽ¡‘ Xipfwadm–?¬-I“-fŽ¡‘ Xipfwadm–?¬-O“-fŽ¦¹Ora–U abbiamo“il“rewš¸èall“denitiv˜o.‘q€Nulla“pu€ò“passare.ŽŸؼSi–U crei“il“le“/etc/rc.d/rc.rewš¸èall.‘q€Questo“script“do˜vrebbGe“consen˜tire“traco“email,“W‘ÿ*¸eb“e“DNS.“;-)Ž¦º#!‘?¬/bin/shŽ¡#Ž¡#‘?¬rc.firewallŽ¡#Ž¡#–?¬Libreria“funzioni.Ž¡.‘?¬/etc/rc.d/init.d/functionsŽ¡¡#–?¬avvia“configurazione.Ž¡.‘?¬/etc/sysconfig/networkŽ¡¡#–?¬Controlliamo“che“la“rete“sia“presenteŽ¡if–?¬[“${NETWORKING}“=“"no"“]Ž¡thenŽ¡‘)ý`exit‘?¬0Ž¡fiŽ¡case–?¬"$1"“inŽ¡‘ Xstart)Ž¡‘ Xecho–?¬-n“"Starting“Firewall“Services:“"Ž¡‘ X#–?¬Inoltro“delle“email“al“proprio“serverŽ¡‘ X/sbin/ipfwadm–?¬-F“-a“accept“-b“-P“tcp“-S“0.0.0.0/0“1024:65535“-D“192.1.2.10“25Ž¡‘ X#–?¬Consenti“connessione“email“verso“server“email“esterniŽ¡‘ X/sbin/ipfwadm–?¬-F“-a“accept“-b“-P“tcp“-S“192.1.2.10“25“-D“0.0.0.0/0“1024:65535Ž¡‘ X#–?¬Consenti“accesso“web“al“proprio“web“serverŽŽŽŒ‹øÖ Û_2 ý ~?Ÿ„€ÕÁGŽÁ7.‘ñ8ImpQÂostazione–Õdel“ltraggio“IP“(IPFW‘þ¸øADM)’܇¹17ŽŽ ÕÁ ýV¯‘ Xº/sbin/ipfwadm–?¬-F“-a“accept“-b“-P“tcp“-S“0.0.0.0/0“1024:65535“-D“192.1.2.11“80Ž¤ ®‘ X#–?¬Consenti“connessioni“Web“verso“server“Web“esterniŽ¡‘ X/sbin/ipfwadm–?¬-F“-a“accept“-b“-P“tcp“-S“192.1.2.*“80“-D“0.0.0.0/0“1024:65535Ž¡‘ X#–?¬Consenti“traffico“DNSŽ¡‘ X/sbin/ipfwadm–?¬-F“-a“accept“-b“-P“udp“-S“0.0.0.0/0“53“-D“192.1.2.0/24Ž¡‘ X;;Ž¡‘ Xstop)Ž¡‘ Xecho–?¬-n“"Stooping“Firewall“Services:“"Ž¡‘ Xipfwadm–?¬-F“-p“denyŽ¡‘ X;;Ž¡‘ Xstatus)Ž¡‘ Xecho–?¬-n“"Now“do“you“show“firewall“stats?"Ž¡‘ X;;Ž¡‘ Xrestart|reload)Ž¡‘)ý`$0‘?¬stopŽ¡‘)ý`$0‘?¬startŽ¡‘)ý`;;Ž¡‘ X*)Ž¡‘)ý`echo–?¬"Usage:“firewall“{start|stop|status|restart|reload}"Ž¡‘)ý`exit‘?¬1Ž¡esacŽŸؼ¹NOT‘ÿ*¸A:–~in“questo“esempio“l'email“servš¸èer“€è“presen˜te“all'indirizzo“192.1.2.10“do˜v˜e“do˜vrebbGe“essere“in“grado“diŽ¡inš¸èviare–U e“ricev˜e“sulla“pGorta“25.Ž©ؼIl–“servš¸èer“w˜eb“€è“presen˜te“all'indirizzo“192.1.2.11.‘]§Consen˜tiamo“a“c˜hiunque“appartenen˜te“alla“LAN‘„di“accedereŽ¡ai–U servš¸èer“w˜eb“e“DNS“esterni.Ž¦Ci€ò–³non“€è“pGerfettamenš¸ète“sicuro,‘'üin“quan˜to“la“pGorta“80“non“do˜vrebbšGe“essere“usata“come“p˜orta“wš¸èeb,‘'üun“hac˜k˜erŽ¡acuto› p•Gotrebb“e˜utilizzarla˜p“er˜creare˜una˜rete˜priv‘ÿqÐata˜virtuale˜(VPN)‘ aattra•¸èv“erso˜il˜rew“all.‘‘ÐP“er˜raggirareŽ¡questa–ž­situazione“€è“necessario“impGostare“un“proš¸èxy“w˜eb,‘±e“consen˜tire“solo“il“pro˜xy“attra˜v˜erso“il“rew˜all.‘N(GliŽ¡utenš¸èti–U della“rete“LAN“dev˜ono“passare“attra˜v˜erso“il“pro˜xy“pGer“accedere“ai“serv˜er“w˜eb“esterni.Ž¦Si›òrp•Gotrebb“e˜essere˜in•¸èteressati˜a˜tenere˜con“to˜del˜traco˜c“he˜passa˜attra“v“erso˜il˜rew“all.‘IuIl˜seguen“te˜scriptŽ¡conš¸èta–…ðtutti“i“pacc˜hetti.‘ïE'‘…ãpšGossibile“aggiungere“una“o“due“linee“p˜er“conš¸ètare“i“pacc˜hetti“diretti“solo“v˜erso“unŽ¡determinato‘U sistema.Ž©ؼ¡¡‘ Xº#–?¬Cancella“le“regole“correnti“di“"conteggio"Ž¡‘ Xipfwadm–?¬-A“-fŽ¡‘ X#‘?¬ConteggioŽ¡‘ X/sbin/ipfwadm–?¬-A“-fŽ¡‘ X/sbin/ipfwadm–?¬-A“out“-i“-S“192.1.2.0/24“-D“0.0.0.0/0Ž¡‘ X/sbin/ipfwadm–?¬-A“out“-i“-S“0.0.0.0/0‘þ°-D“192.1.2.0/24Ž¡› X/sbin/ipfwadm–?¬-A“in˜-i“-S“192.1.2.0/24“-D“0.0.0.0/0Ž¡› X/sbin/ipfwadm–?¬-A“in˜-i“-S“0.0.0.0/0‘þ°-D“192.1.2.0/24Ž¦¹Se–K¬tutto“ci€ò“di“cui“si“ha“bisogno“€è“un“rewš¸èall“ltran˜te“allora“ci“si“pu€ò“fermare“qui.‘nYSi“eettuino“dei“test“e“seŽ¡la–U si“goGda.ŽŽŽŒ‹P Û_2 ý ~?Ÿ„€ÕÁGŽÁ8.‘ñ8ImpQÂostazione–Õdel“ltraggio“IP“(IPCHAINS)’ݱ¹18ŽŽ ÕÁ ýVʨÀ8Ž‘ÁImppœostazione–G\del“ltraggio“IP“(IPCHAINS)ŽŸ¿:¹Lin•¸èux›D$ipGc“hains˜€è˜la˜riscrittura˜del˜coGdice˜IPv4˜di˜ltraggio˜di˜Lin“ux˜e˜di˜ipfw“adm,‘GŠil˜quale˜a˜sua˜v“olta˜€è˜unaŽ¤ ®riscrittura–°di“ipfw“della“BSD,“credo.‘‚l€È‘°ricš¸èhiesto“pGer“l'amministrazione“dei“ltri“dei“pacc˜hetti“IP‘°nei“k˜ernelŽ¡Lin•¸èux›U v“ersione˜2.1.102˜e˜successivi.Ž©ؼIl›rÅv•¸èecc“hio˜coGdice˜non˜gestisce˜i˜frammen“ti,‘  ha˜con“tatori˜32-bit˜(almeno˜su˜In“tel),‘  non˜consen“te˜la˜spGecicazioneŽ¡di–«üprotoGcolli“c¸èhe“non“siano“TCP›ÿ*¸,“UDP‘«æo“ICMP˜,“non“pu€ò“eettuare“grossi“cam•¸èbiamen“ti‘«üatomicamen“te,‘Á´nonŽ¡€è–^>pšGossibile“sp˜ecicare“regole“in•¸èv“erse,› †ha–^>alcune“bizzarrie,˜e“pu€ò“essere“dicile“da“utilizzare“(incline“a“farŽ¡commettere–U errori“all'uten¸ète).‘q€Cos€ì“almeno“secondo“l'autore.Ž¦Non–!|mi“accingo“ad“approfondire“come“gestire“un“rewš¸èall“con“IPChains“in“quan˜to“esiste“un'ECCELLENTE!!Ž¡HO¸èWTO‘U all'indirizzoŽ¦Ähttp://www.rustc–ÿ}/orp.c“om/linux/ip“chains/HO¾˜WTO.html‘@ãºhttp://www.rustcorp.com/linux/ipchains/Ž¡HOWTO.html‘U ¹.Ž¦Si›ɬla•¸èv“ora˜con˜le˜catene˜pGer˜nome.‘CSi˜parte˜con˜tre˜catene˜predenite˜input,‘åoutput˜e˜forw“ard˜c“he˜non˜pGossonoŽ¡essere–Í-rimosse.›D/Si“pGossono“anc¸èhe“creare“proprie“catene.˜Le“regole,›è^da“questo“sistema,˜pGossono“essere“aggiun¸èteŽ¡e‘U cancellate.Ž¦Le–U opšGerazioni“p˜er“op˜erare“su“in¸ètere“catene“sono:Ž©ؼ‘ 9b1.ŽŽŽ‘Crea–U una“n•¸èuo“v‘ÿqÐa–U catena“(-N).Ž¤®‘ 9b2.ŽŽŽ‘Cancella–U una“catena“vuota“(-X).Ž¡‘ 9b3.ŽŽŽ‘Cam¸èbia–U la“tattica“di“una“delle“catene“predenite“(-P).Ž¡‘ 9b4.ŽŽŽ‘Elenca–U le“regole“di“una“delle“catene“(-L).Ž¡‘ 9b5.ŽŽŽ‘Svuota–U una“catena“delle“sue“regole“(-F).Ž¡‘ 9b6.ŽŽŽ‘Azzera–U i“conš¸ètatori“dei“pacc˜hetti“e“dei“b˜yte“di“tutte“le“regole“di“una“catena“(-Z).Ž¦Esistono–U inoltre“div¸èersi“mošGdi“p˜er“manip˜olare“le“regole“di“una“catena:Ž©ؼ‘ 9b1.ŽŽŽ‘AppGendi–U una“n•¸èuo“v‘ÿqÐa–U regola“ad“una“catena“(-A).Ž¡‘ 9b2.ŽŽŽ‘Inserisci–U una“n•¸èuo“v‘ÿqÐa–U regola“in“una“determinata“pGosizione“della“catena“(-I).Ž¡‘ 9b3.ŽŽŽ‘Sostituisci–U una“regola“presen¸ète“in“una“determinata“pGosizione“di“una“catena“(-R).Ž¡‘ 9b4.ŽŽŽ‘Cancella–U una“regola“presen¸ète“in“una“determinata“pGosizione“della“catena“(-D).Ž¡‘ 9b5.ŽŽŽ‘Cancella–U la“prima“regola“di“una“catena“(-D).Ž¦Ci–nbsono“ancš¸èhe“alcune“opGerazioni“riguardan˜ti“il“masquerading,‘´²incluse“in“ipGc˜hains“in“quan˜to“€è“una“buonaŽŸ ®colloGcazione:Ž¦‘ 9b1.ŽŽŽ‘Elenca–U le“connessioni“corren•¸ètemen“te›U masc“herate˜(-M˜-L).Ž¡‘ 9b2.ŽŽŽ‘ImpGosta–U i“timeout“del“masquerading“(-M“-S).Ž¦Esistono–U alcuni“problemi“di“tempšGo“riguardan¸èti“la“mo˜dica“delle“regole“del“rew¸èall.ŽŸؼSe–Óqnon“si“presta“particolare“attenzione,‘íasi“p•Gotrebb“ero–Óqfar“passare“dei“paccš¸èhetti“men˜tre“si“€è“nel“bGel“mezzo“delleŽŸ ®moGdic¸èhe.ŽŽŽŒ‹ 4 Û_2 ý ~?Ÿ„€ÕÁGŽÁ8.‘ñ8ImpQÂostazione–Õdel“ltraggio“IP“(IPCHAINS)’ݱ¹19ŽŽ ÕÁ ýV¯‘>\º#–?¬ipchains“-I“input“1“-j“DENYŽ¤ ®‘>\#–?¬ipchains“-I“output“1“-j“DENYŽ¡‘>\#–?¬ipchains“-I“forward“1“-j“DENYŽ¤ؼ¹...‘q€eettua–U le“moGdic¸èhe“...Ž¡‘>\º#–?¬ipchains“-D“input“1Ž¤ ®‘>\#–?¬ipchains“-D“output“1Ž¡‘>\#–?¬ipchains“-D“forward“1Ž¡‘>\#Ž¤ؼ¹Questa–U soluzione“scarta“tutti“i“pacc¸èhetti“pšGer“tutta“la“durata“delle“mo˜dic¸èhe.ŽŸؼSegue–U un“duplicato,“adattato“pGer“IPChains,“delle“regole“preceden¸èti.Ž¡º#!/bin/shŽ¤ ®#Ž¡#‘?¬rc.firewallŽ¡#Ž¡##–?¬Svuota“tutto,“cominciamo“da“zeroŽ¡‘ X/sbin/ipchains–?¬-F“inputŽ¡‘ X/sbin/ipchains–?¬-F“outputŽ¡‘ X/sbin/ipchains–?¬-F“forwardŽ¡¡##–?¬Redirezione,“necessaria“per“il“proxy“HTTP“trasparenteŽ¡– X#$IPCHAINS“-A–?¬input“-p“tcp“-s“192.1.2.0/24“-d“0.0.0.0/0“80“-j“REDIRECT“8080Ž¡¡##–?¬Creazione“della“propria“catenaŽ¡‘ X/sbin/ipchains–?¬-N“my-chainŽ¡‘ X#–?¬Consentiamo“alle“email“di“giungere“al“serverŽ¡‘ X/sbin/ipchains–?¬-A“my-chain“-s“0.0.0.0/0“smtp“-d“192.1.2.10“1024:-j“ACCEPTŽ¡‘ X#–?¬Consentiamo“connessioni“email“verso“server“email“esterniŽ¡‘ X/sbin/ipchains–?¬-A“my-chain“-s“192.1.2.10“-d“0.0.0.0/0“smtp“-j“ACCEPTŽ¡‘ X#–?¬Consentiamo“connessioni“Web“dirette“al“proprio“server“WebŽ¡‘ X/sbin/ipchains–?¬-A“my-chain“-s“0.0.0.0/0“www“-d“192.1.2.11“1024:“-j“ACCEPTŽ¡‘ X#–?¬Consentiamo“connessioni“Web“dirette“verso“server“Web“esterniŽ¡‘ X/sbin/ipchains–?¬-A“my-chain“-s“192.1.2.0/24“1024:“-d“0.0.0.0/0“www“-j“ACCEPTŽ¡‘ X#–?¬Consentiamo“traffico“DNSŽ¡‘ X/sbin/ipchains–?¬-A“my-chain“-p“UDP“-s“0.0.0.0/0“dns“-d“192.1.2.0/24“-j“ACCEPTŽ¡¡##–?¬Se“si“utilizza“il“masqueradingŽ¡‘ X#–?¬Non“mascherare“il“traffico“interno-internoŽ¡‘ X/sbin/ipchains–?¬-A“forward“-s“192.1.2.0/24“-d“192.1.2.0/24“-j“ACCEPTŽ¡‘ X#–?¬Non“mascherare“direttamente“l'interfaccia“esternaŽ¡‘ X/sbin/ipchains–?¬-A“forward“-s“24.94.1.0/24“-d“0.0.0.0/0“-j“ACCEPTŽ¡‘ X#–?¬Maschera“tutti“gli“IP“interni“diretti“all'esternoŽ¡‘ X/sbin/ipchains–?¬-A“forward“-s“192.1.2.0/24“-d“0.0.0.0/0“-j“MASQŽ¡¡##–?¬Scarta“qualsiasi“altra“cosaŽ¡‘ X/sbin/ipchains–?¬-P“my-chain“input“DENYŽŽŽŒ‹‡ Û_2 ý ~?Ÿ„€ÕÁGŽÁ9.‘ñ8Installare–Õun“proš®>xy“trasparen˜te“SQUID’󗘹20ŽŽ ÕÁ ýV¯Non–àci“si“fermi“qui.‘^ÀQuesto“non“€è“un“gran“rewš¸èall“e“sono“sicuro“c˜he“si“v˜orranno“fornire“altri“servizi.‘^ÀAncora,Ž¤ ®si–U legga“l'IPCHAINS-HO¸èWTO.Ž©(ÀœÀ9Ž‘ÁInstallare–G\un“prošcxy“trasparen˜te“SQUIDŽŸ¿:¹Il–U pro¸èxy“squid“€è“dispGonibile“all'indirizzo“Åhttp://squid.nlanr.net/–Õºhttp://squid.nlanr.net/“¹.ŽŸؼGli–÷viata,‘7zpQÂer‘ #Íappren-Ž¡dere– Úéil“nome“della“directory“nascosta“un'email“all'indirizzo“Åfwtk-r–ÿiHe“quest@tislabs.c“omŽ¡ºmailto:fwtk-‘€request@tislabs.com‘*8¹con–U presen¸ète,“nel“corpGo“del“messaggio,“la“sola“parola“ÁacceptedŽ¦¹Nessun–°argomenš¸èto“€è“ric˜hiesto“nell'oggetto.‘:Il“loro“sistema“pro˜vv˜eder€à“a“in˜viare“il“nome“della“directory“(buonaŽ¡pšGer–U 12“ore)“do•¸èv“e–U p˜oter“prelev‘ÿqÐare“il“sorgen¸ète.Ž¦Al–U momenš¸èto“della“stesura,“la“v˜ersione“corren˜te“di“FWTK“€è“la“2.1.Ž¦Ci€ò–U cš¸èhe“ora“rimane“da“fare“€è“la“congurazione“del“rew˜all.ŽŸ#ÃÃ10.2Ž‘%}¨Compilare–¸TIS“FWTKŽŸMª¹La–^compilazione“della“vš¸èersione“2.1“di“FWTK‘~Ï€è“molto“pi€ù“semplice“rispGetto“a“qualsiasi“altra“v˜ersioneŽ¡preceden¸ète.Ž¦SPIEGA‘U QUI!!!Ž¦Ora–U impartire“Ámak®>e¹.ŽŸ#ÃÃ10.3Ž‘%}¨Installare–¸TIS“FWTKŽŸMª¹Digitare‘U Ámak®>e‘Õinstall¹.Ž¦La–ä²directory“di“default“dell'installazione“€è“/usr/lo•Gcal/etc.‘LE'‘ä•p“ossibile–ä²cam¸èbiarla“(non“l'ho“fatto)“con“una“pi€ùŽ¡sicura.‘q€Ho–U scelto“di“camš¸èbiare“l'accesso“a“questa“directory“con“'c˜hmoGd“700'.ŽŸ#ÃÃ10.4Ž‘%}¨Congurare–¸TIS“FWTKŽŸMª¹Ora–Sôcomincia“il“vš¸èero“div˜ertimen˜to.‘mûE'‘S²necessario“imparare“il“sistema“pGer“c˜hiamare“questi“n˜uo˜vi“servizi“eŽ¡creare–µÉle“tabšGelle“p˜er“conš¸ètrollarli.‘“zNon“ho“in˜tenzione“qui“di“riscriv˜ere“il“man˜uale“di“TIS‘µ°FWTK,“v˜oglio“soloŽŽŽŒ‹ V Û_2 ý ~?Ÿ„€ÕÁGŽÁ10.‘ñ8Installare–Õil“proš®>xy“serv˜er“TIS’![ع21ŽŽ ÕÁ ýV¯mostrare–/ùle“impGostazioni“cš¸èhe“ho“tro˜v‘ÿqÐato“funzionan˜ti“e“spiegare“i“problemi“c˜he“ho“incon˜trato“e“come“li“hoŽŸ ®risolti.ŽŸؼEsistono–U tre“le“cš¸èhe“riguardano“questi“con˜trolli:Ž¤_M‘¸ŽŽŽ‘¹/etc/servicesŽ©}‚‘$@^ÁŽŽŽ‘/¹Segnala–U al“sistema“a“quali“pGorte“il“servizio“€è“presen¸èteŽ¡‘¸ŽŽŽ‘¹/etc/inetd.confŽ¦‘$@^ÁŽŽŽ‘/¹Segnala–U a“inetd“quali“programmi“ric¸èhiamare“quando“qualcuno“bussa“ad“una“determinata“pGortaŽ¡‘¸ŽŽŽ‘¹/usr/lo•Gcal/etc/netp“erm-tableŽ¦‘$@^ÁŽŽŽ‘/¹SpGecica–U cš¸èhi“pu€ò“accedere“e“c˜hi“no“ai“serviziŽ¡P•¸èerc“h€é–íuFWTK‘íZfunzioni,‘0€è“necessario“mošGdicare“questi“le“da“principio.‘NòMo˜dicare“i“le“dei“servizi“senza“c¸èheŽ¤ ®siano–U impšGostati“correttamen¸ète“i“le“inetd.conf“o“netp˜erm-table“pu€ò“rendere“il“proprio“sistema“inaccessibile.ŽŸ Á,Á10.4.1Ž‘(áIl–Õle“netpQÂerm-tableŽŸMª¹Questo–®Jle“conš¸ètrolla“c˜hi“pu€ò“accedere“ai“servizi“di“TIS‘­ñFWTK.“Il“traco“si“pu€ò“considerare“diretto“adŽ¡en•¸ètram“bi–wŒi“lati“del“rewš¸èall.‘ØÄLe“pGersone“all'esterno“della“propria“rete“do˜vrebbGero“iden˜ticarsi“prima“di“pGoterŽ¡guadagnare–U l'accesso,“menš¸ètre“agli“uten˜ti“della“rete“loGcale“do˜vrebbGe“essere“consen˜tito“di“passare.Ž©ؼIn–ǽquesto“mošGdo“le“p˜ersone“p˜ossono“idenš¸èticarsi;‘ il“rew˜all“utilizza“un“programma“Áauthsrv“¹pGer“man˜tenereŽ¡un–ãdatabase“delle“user“ID‘–e“delle“passwš¸èord.‘ñÈLa“sezione“della“netpGerm-table“riguardan˜te“l'auten˜ticazioneŽ¡con•¸ètrolla›U do“v“e˜€è˜colloGcato˜il˜database˜e˜c“hi˜vi˜pu€ò˜accedere.Ž¦Ho–Øaš¸èvuto“alcuni“problemi“nel“c˜hiudere“l'accesso“a“questo“servizio.‘GÒNota“infatti“la“presenza“nella“linea“pGermit-Ž¡hosts–²edel“carattere“*“usato“pGer“consenš¸ètire“l'accesso“a“c˜hiunque.‘‰PL'impGostazione“corretta“di“questa“linea,‘É·seŽ¡vi›U do•¸èv“esse˜funzionare,˜€è˜‘*hºauthsrv:‘ Xpermit-hosts‘?¬localhost¹.Ž©_M‘ Xº#Ž¡‘ X#–?¬Tabella“di“configurazione“del“proxyŽ¡‘ X#Ž¡‘ X#–?¬server“di“autenticazione“e“regole“clientiŽ¡‘ Xauthsrv:‘~database‘?¬/usr/local/etc/fw-authdbŽ¡‘ Xauthsrv:‘~permit-hosts‘?¬*Ž¡‘ Xauthsrv:‘~badsleep‘?¬1200Ž¡‘ Xauthsrv:‘~nobogus‘?¬trueŽ¡‘ X#–?¬Applicazioni“client“che“utilizzano“il“server“authenticationŽ¡‘ X*:‘>üauthserver–?¬127.0.0.1“114Ž¦¹Pš¸èer–Æinizializzare“il“database“e“creare“il“record“user“administrativ˜e,‘( eettuare“un“su“roGot“e“a˜vviare“Á./authsrvŽ¡¹nella–U directory“/v‘ÿqÐar/loGcal/etc.‘q€Qui“€è“presen¸ète“una“semplice“sezione.ŽŸؼSi–U legga“la“došGcumen¸ètazione“di“FWTK“p˜er“imparare“come“aggiungere“uten¸èti“e“gruppi.ŽŸw–‘þ°º#Ž¡‘þ°#‘?¬authsrvŽ¡‘þ°authsrv#‘?¬listŽ¡‘þ°authsrv#–?¬adduser“admin“"Auth“DB“admin"ŽŽŽŒ‹*ã Û_2 ý ~?Ÿ„€ÕÁGŽÁ10.‘ñ8Installare–Õil“proš®>xy“serv˜er“TIS’![ع22ŽŽ ÕÁ ýV¯‘þ°ºok–?¬-“user“added“initially“disabledŽ¤ ®‘þ°authsrv#–?¬ena“adminŽ¡‘þ°enabledŽ¡‘þ°authsrv#–?¬proto“admin“passŽ¡‘þ°changedŽ¡‘þ°authsrv#–?¬pass“admin“"plugh"Ž¡‘þ°Password‘?¬changed.Ž¡‘þ°authsrv#–?¬superwiz“adminŽ¡‘þ°set‘?¬wizardŽ¡‘þ°authsrv#‘?¬listŽ¡‘þ°Report–?¬for“users“in“databaseŽ¡–þ°user›¿group‘ Xlongname‘9¼dok?“proto˜lastŽ¡‘þ°------–?¬------“------------------“-----– X------“-----Ž¡›þ°admin‘/= Auth–?¬DB“admin‘~ena˜passw‘¿neverŽ¡‘þ°authsrv#–?¬display“adminŽ¡‘þ°Report–?¬for“user“admin“(Auth“DB“admin)Ž¡‘þ°Authentication–?¬protocol:“passwordŽ¡‘þ°Flags:‘?¬WIZARDŽ¡‘þ°authsrv#‘?¬^DŽ¡‘þ°EOTŽ¡‘þ°#ŽŸؼ¹I–U conš¸ètrolli“del“gatew˜a˜y“telnet“(tn-gw)“sono“i“primi“da“impGostare.Ž©ؼNell'esempio,‘ä1autorizzo–Ç”gli“host“presenš¸èti“all'in˜terno“della“rete“priv‘ÿqÐata“a“passare“senza“auten˜ticarsi“(pGermit-Ž¡hosts–y19961.2.*“-passok).‘(#Ogni“altro“utenš¸ète“in˜v˜ece“do˜vr€à“inserire“il“proprio“user“ID‘xÏe“la“passw˜ord“pGer“utilizzareŽ¡il–U pro¸èxy“(pGermit-hosts“*“-auth).Ž¦Inoltre,‘°®consenš¸èto–k+ad“un“altro“sistema“(196.1.2.202)“di“accedere“direttamen˜te“al“rew˜all“senza“passare“at-Ž¡tra•¸èv“erso–Uýil“rewš¸èall“stesso.‘tLe“due“righe“inetacl-in.telnetd“serv˜ono“a“denire“questo.‘tPi€ù“a˜v‘ÿqÐan˜ti“sar€à“spiegatoŽ¡come–U queste“righe“sono“ric¸èhiamate.Ž¦Il–U timeout“T‘ÿ*¸elnet“doš¸èvrebbGe“essere“man˜ten˜uto“brev˜e.Ž©ؼ‘ Xº#–?¬regole“del“gateway“telnet:Ž¡‘ Xtn-gw:‘SúÀdenial-msg‘~/usr/local/etc/tn-deny.txtŽ¡‘ Xtn-gw:‘SúÀwelcome-msg‘>\/usr/local/etc/tn-welcome.txtŽ¡‘ Xtn-gw:‘SúÀhelp-msg‘)ý`/usr/local/etc/tn-help.txtŽ¡‘ Xtn-gw:‘SúÀtimeout‘?¬90Ž¡‘ Xtn-gw:‘SúÀpermit-hosts–?¬192.1.2.*“-passok“-xokŽ¡‘ Xtn-gw:‘SúÀpermit-hosts–?¬*“-authŽ¡‘ X#–?¬Solo“l'amministratore“pu€ò“effettuare“telnet“direttamente“al“FirewallŽ¡‘ X#–?¬tramite“la“Porta“24Ž¡‘ Xnetacl-in.telnetd:–?¬permit-hosts“192.1.2.202“-exec“/usr/sbin/in.telnetdŽ¦¹I–U comandi“r“funzionano“allo“stesso“moGdo“del“telnet.Ž¦‘ Xº#–?¬rlogin“gateway“rules:Ž¡‘ X#–?¬regole“gateway“rlogin:Ž¡‘ Xrlogin-gw:‘þ°denial-msg‘~/usr/local/etc/rlogin-deny.txtŽ¡‘ Xrlogin-gw:‘þ°welcome-msg‘>\/usr/local/etc/rlogin-welcome.txtŽ¡‘ Xrlogin-gw:‘þ°help-msg‘)ý`/usr/local/etc/rlogin-help.txtŽŽŽŒ‹67 Û_2 ý ~?Ÿ„€ÕÁGŽÁ10.‘ñ8Installare–Õil“proš®>xy“serv˜er“TIS’![ع23ŽŽ ÕÁ ýV¯‘ Xºrlogin-gw:‘þ°timeout‘?¬90Ž¤ ®‘ Xrlogin-gw:‘þ°permit-hosts–?¬192.1.2.*“-passok“-xokŽ¡‘ Xrlogin-gw:‘þ°permit-hosts–?¬*“-auth“-xokŽ¡‘ X#–?¬Solo“l'Amministratore“pu€ò“eseguire“direttamente“il“telnet“al“FirewallŽ¡‘ Xnetacl-rlogind:–?¬permit-hosts“192.1.2.202“-exec“/usr/libexec/rlogind“-aŽŸÀõ¹€È‘ƒÐconsigliabile–ƒÜcš¸èhe“nessuno“pGossa“accedere“direttamen˜te“al“rew˜all,‘‹incluso“l'accesso“in“FTP‘ÿ*¸.“P˜ertan˜to,‘‹nonŽ¡si–U metta“un“servš¸èer“FTP“sul“proprio“rew˜all.Ž©ؼInoltre,‘øla–×~riga“pGermit-hosts“consenš¸ète“a“c˜hiunque“all'in˜terno“della“rete“protetta“di“accedere“libGeramen˜te“adŽ¡In•¸èternet,‘BŽmen“tre–tutti“gli“altri“devš¸èono“auten˜ticarsi.‘«UAi“miei“con˜trolli“sono“stati“aggiun˜ti“il“log“di“ogni“leŽ¡in¸èviato–U e“ricevuto“(-log“¸f“¹retr“stor“¸g¹).Ž¦Il–Ätimeout“ftp“conš¸ètrolla“quan˜to“tempšGo“ci“vuole“p˜er“far“cadere“una“cattiv‘ÿqÐa“connessione“come“pure“quan¸èto“aŽ¡lungo–U pu€ò“rimanere“apGerta“una“connessione“senza“attivit€à.Ž©Àõ‘ Xº#–?¬regole“gateway“ftp:Ž¡‘ Xftp-gw:‘N»denial-msg‘~/usr/local/etc/ftp-deny.txtŽ¡‘ Xftp-gw:‘N»welcome-msg‘>\/usr/local/etc/ftp-welcome.txtŽ¡‘ Xftp-gw:‘N»help-msg‘)ý`/usr/local/etc/ftp-help.txtŽ¡‘ Xftp-gw:‘N»timeout‘?¬300Ž¡‘ Xftp-gw:‘N»permit-hosts–?¬192.1.2.*“-log“{“retr“stor“}Ž¡‘ Xftp-gw:‘N»permit-hosts–?¬*“-authall“-log“{“retr“stor“}Ž¦¹I‘˜wš¸èeb,‘¨Õgopher–˜e“bro˜wser“basati“su“ftp“sono“stra˜v˜olti“dall'h˜ttp-gw.‘:eLe“prime“due“righe“creano“una“directoryŽ¡do•¸èv“e–OVpšGoter“memorizzare“i“do˜cumenš¸èti“ftp“e“w˜eb“esattamen˜te“come“passano“attra˜v˜erso“il“rew˜all.‘`#Ho“resoŽ¡questi–U le“di“propriet€à“di“rošGot“e“li“ho“collo˜cati“in“una“directory“accessibile“solo“dal“ro˜ot.ŽŸؼLa–QÎconnessione“W‘ÿ*¸eb“doš¸èvrebbGe“essere“ten˜uta“brev˜e.‘peViene“inoltre“eettuato“un“con˜trollo“sul“tempGo“di“attesaŽ¡di–U un“uten¸ète“su“una“cattiv‘ÿqÐa“connessione.Ž¦‘ Xº#–?¬regole“gateway“www“e“gopher:Ž¡‘ Xhttp-gw:‘~userid‘4|¸rootŽ¡‘ Xhttp-gw:‘~directory‘$½´/jailŽ¡‘ Xhttp-gw:‘~timeout‘?¬90Ž¡‘ Xhttp-gw:‘~default-httpd‘¿www.afs.netŽ¡‘ Xhttp-gw:‘~hosts‘9¼d192.1.2.*–?¬-log“{“read“write“ftp“}Ž¡‘ Xhttp-gw:–~deny-hosts“*Ž¦¹ssl-gw–!É€è“di“fatto“un“semplice“gatew•¸èa“y–!Épassatutto.›`cPrestategli“attenzione.˜In“questo“esempio“consen¸èto“a“tuttiŽ¡all'inš¸èterno–ìëdella“rete“protetta“di“connettersi“a“qualsiasi“serv˜er“al“di“fuori“della“rete,‘Þfatta“eccezione“pGer“gliŽ¡indirizzi–Žk127.0.0.*“e“192.1.1.*,‘œ¾e“solo“sulle“pšGorte“da“443“a“563.‘aLe“p˜orte“da“443“a“563“sono“conosciute“comeŽ¡pGorte‘U SSL.Ž¦‘ Xº#–?¬regole“gateway“ssl:Ž¡‘ Xssl-gw:‘/= timeout‘?¬300Ž¡‘ Xssl-gw:‘/= hosts‘9¼d192.1.2.*–?¬-dest“{“!127.0.0.*“!192.1.1.*“*:443:563“}Ž¡‘ Xssl-gw:‘/= deny-hosts‘~*Ž¦¹Segue–pÛun“esempio“di“come“utilizzare“il“plug-gw“pGer“consenš¸ètire“connessioni“ad“un“serv˜er“news.‘ıNell'esempio,Ž¡si–éabilitano“tutti“gli“utenš¸èti“all'in˜terno“della“rete“priv‘ÿqÐata“a“connettersi“ad“un“solo“sistema“e“solo“alla“sua“pGortaŽ¡news.ŽŽŽŒ‹?¹ Û_2 ý ~?Ÿ„€ÕÁGŽÁ11.‘ñ8Il–Õproš®>xy“serv˜er“SOCKS’?]á¹24ŽŽ ÕÁ ýV¯La–U seconda“riga“consenš¸ète“al“serv˜er“news“di“ripassare“i“dati“alla“rete“protetta.ŽŸؼDal–ýmomenš¸èto“c˜he“la“maggior“parte“dei“clien˜t“si“aspGettano“di“restare“connessi“men˜tre“gli“uten˜ti“leggono“leŽ¤ ®news,–U il“timeout“pGer“un“servš¸èer“di“news“do˜vrebbGe“essere“lungo.Ž©ؼ¡‘ Xº#–?¬NetNews“Pluged“gatewayŽ¡‘ Xplug-gw:‘)ý`timeout‘?¬3600Ž¡‘ Xplug-gw:–?¬port“nntp“192.1.2.*“-plug-to“24.94.1.22“-port“nntpŽ¡‘ Xplug-gw:–?¬port“nntp“24.94.1.22“-plug-to“192.1.2.*“-port“nntpŽ¦¹Il›Ž„gatew•¸èa“y˜nger˜€è˜semplice.‘­Chiunque˜dall'in“terno˜della˜rete˜protetta˜dev“e˜prima˜di˜tutto˜eseguire˜il˜loginŽ¡e–;èsolo“dopGo“pu€ò“ottenere“l'abilitazione“a“utilizzare“il“programma“nger“sul“rewš¸èall.‘%ÙT‘ÿ*¸utti“gli“altri“in˜v˜eceŽ¡ricev•¸èono›U semplicemen“te˜un˜messaggio.Ž©ؼ‘ Xº#–?¬Abilitazione“del“servizio“fingerŽ¡‘ Xnetacl-fingerd:–?¬permit-hosts“192.1.2.*“-exec“/usr/libexec/fingerdŽ¡‘ Xnetacl-fingerd:–?¬permit-hosts“*“-exec“/bin/cat“/usr/local/etc/finger.txtŽ¦¹Non–áho“impšGostato“i“servizi“Mail“e“X-windo¸èws“p˜ertan¸èto“non“aggiungo“degli“esempi“in“merito.‘RSe“qualcunoŽ¡pGossiede–U un“esempio“funzionanš¸ète“€è“pregato“di“in˜viarmi“un'email.ŽŸ ÖÁ10.4.2Ž‘(áThe–Õ/etc/services“leŽŸMª¹Qui–¾t€è“do•¸èv“e–¾ttutto“comincia.‘­|Quando“un“clienš¸èt“si“connette“al“rew˜all“lo“fa“su“una“pGorta“conosciuta“(minoreŽ¡di–þ)1024).›lœA¸èd“esempio“telnet“si“connette“sulla“pGorta“23.˜Il“demone“inetd“sen¸ète“questa“connessione“e“cercaŽ¡il–Ñ nome“di“questo“servizio“nel“le“/etc/services.‘åQuindi,‘ð ric¸èhiama“il“programma“assegnato“al“nome“nel“leŽ¡/etc/inetd.conf.ŽŸؼAlcuni–¯ dei“servizi“cš¸èhe“stiamo“creando“non“si“tro˜v‘ÿqÐano“normalmen˜te“nel“le“/etc/services.‘:V€È‘¯vpGossibile“assegnareŽ¡alcuni–æßdi“essi“ad“una“pšGorta“qualsiasi.‘LÀA¸èd“esempio,‘üìho“assegnato“la“p˜orta“corrisp˜onden¸ète“al“telnet“dell'ammin-Ž¡istratore–Ýú(telnet-a)“alla“pšGorta“24.‘IÉV‘ÿ*¸olendo,‘õÏlo“si“pu€ò“assegnare“alla“p˜orta“23.‘IÉAnc¸èh€é“l'amministratore“(ossiaŽ¡vš¸èoi–×Pstessi)“pGossa“connettersi“direttamen˜te“al“rew˜all“€è“necessario“eseguire“il“telnet“alla“pGorta“24“e“non“allaŽ¡23,‘P¦e–Oˆse“il“le“netpšGerm-table“viene“imp˜ostato,›P¦come“ho“fatto“io,˜sar€à“pGossibile“farlo“solamen¸ète“da“un“sistemaŽ¡all'in¸èterno–U della“propria“rete“protetta.Ž¦¡‘ Xºtelnet-a‘)ý`24/tcpŽ¡‘ Xftp-gw‘4|¸21/tcp‘N»#–?¬questo“nome“€è“cambiatoŽ¡‘ Xauth‘>ü113/tcp‘¿ident‘þ°#–?¬verifica“dell'utenteŽ¡‘ Xssl-gw‘4|¸443/tcpŽŸ(ÀœÀ11Ž‘¬%Il–G\prošcxy“serv˜er“SOCKSŽŸèÃ11.1Ž‘%}¨Imp_úostare–¸il“servš er“pro˜xyŽŸMª¹Il–U proš¸èxy“serv˜er“SOCKS“€è“dispGonibile“all'indirizzo“Áh•®>ttp://www.soQÂc“ks.nec.com/¹.ŽŸؼDecomprimere–j/e“decompattare“(unš¸ètar)“i“le“all'in˜terno“di“una“directory“del“proprio“sistema,‘¯se“seguire“leŽ¡istruzioni–=Æsu“come“eettuare“il“mak•¸èe.‘+qP“ersonalmen“te–=Æho“a¸èvuto“un“paio“di“problemi“in“quest'ultimo“caso.Ž¡Assicurarsi–U cš¸èhe“i“Mak˜ele“siano“corretti.ŽŽŽŒ‹L5 Û_2 ý ~?Ÿ„€ÕÁGŽÁ11.‘ñ8Il–Õproš®>xy“serv˜er“SOCKS’?]á¹25ŽŽ ÕÁ ýV¯€È‘èimpGortanš¸ète–notare“c˜he“il“pro˜xy“serv˜er“dev˜e“essere“aggiun˜to“nel“le“/etc/inetd.conf.‘~_€È‘ènecessario“quindiŽ© ®aggiungere–U la“riga:Ž¤6)– Xºsocks“stream“tcp“nowait“nobody“/usr/local/etc/sockd“sockdŽ¡¹pGer–U segnalare“al“servš¸èer“di“en˜trare“in“esecuzione“quando“ric˜hiesto.ŽŸ"Õ±Ã11.2Ž‘%}¨Congurare–¸il“Proš xy“Serv˜erŽ¤Mª¹Il–³Aprogramma“SOCKS‘³)ha“bisogno“di“due“le“di“congurazione“separati.‘‹ãIl“primo“pšGer“sp˜ecicare“gli“accessiŽ¦autorizzati,‘ il–]Øsecondo“pGer“instradare“le“ricš¸èhieste“al“pro˜xy“serv˜er“appropriato.‘‹©Il“le“di“accesso“do˜vrebbGeŽ¦essere–¤òloGcalizzato“sul“servš¸èer.‘`öIl“le“di“instradamen˜to“do˜vrebbGe“tro˜v‘ÿqÐarsi“su“ogni“macc˜hina“Unix.‘`öI‘¤ÝcomputerŽ¦DOS–U e“presumibilmenš¸ète“i“Macin˜tosh“eettueranno“il“proprio“instradamen˜to.ŽŸ ŽÁ11.2.1Ž‘(áIl–Õle“di“accessoŽ¡¹Con–D¨sošGc¸èks“4.2c“Beta,‘€Šil“le“di“accesso“€è“denominato“º"¹so˜c•¸èkd.confº"¹.‘@Do“vrebb˜e›D¨con“tenere˜2˜righe,‘€Šuna˜rigaŽ¦pGermit–U e“una“riga“denš¸èy‘ÿ*¸.‘q€Ogni“riga“con˜terr€à“tre“campi:Ž©6)‘¸ŽŽŽ‘¹L'iden•¸èticatore‘U (pGermit/den“y)Ž¤¦‘¸ŽŽŽ‘¹L'indirizzo‘U IPŽ¡‘¸ŽŽŽ‘¹Il–U moGdicatore“di“indirizzoŽ¦L'iden¸èticatore–U €è“di“tipšGo“p˜ermit“oppure“denš¸èy‘ÿ*¸.‘q€€È“consigliabile“a˜v˜ere“sia“la“riga“pGermit,“sia“la“riga“den˜y‘ÿ*¸.Ž¤ؼL'indirizzo–U IP“€è“un“indirizzo“a“4“b¸èyte“come“nella“tipica“notazione“IP‘ÿ*¸.“Ossia,“192.168.1.0.Ž¡Ancš¸èhe–q°il“moGdicatore“di“indirizzo“€è“un“tipico“indirizzo“IP‘q¨rappresen˜tato“da“un“n˜umero“di“4“b˜yte“e“funzionaŽ¤ ®come–S”una“netmask.‘lÜSuppGoniamo“cš¸èhe“questo“n˜umero“sia“a“32“bit“(serie“di“1“o“di“0).‘lÜSe“il“bit“€è“un“1,‘“1ilŽ¡bit–..corrispGondenš¸ète“dell'indirizzo“c˜he“si“sta“con˜trollando“dev˜e“essere“uguale“al“bit“corrispGonden˜te“presen˜te“nelŽ¡campGo–U dell'indirizzo“IP‘ÿ*¸.ŽŸؼA¸èd–U esempio,“se“la“riga“€è:Ž¦‘þ°ºpermit–?¬192.168.1.23“255.255.255.255Ž¦¹saranno–M¨ammessi“solo“gli“indirizzi“IP‘M¦i“cui“bit“corrispGondono“a“192.168.1.23,–O&ossia,“solo–M¨192.168.1.3.‘oLa“riga:Ž¦‘þ°ºpermit–?¬192.168.1.0“255.255.255.0Ž¦¹ammetter€à–œÚogni“nš¸èumero“all'in˜terno“del“gruppGo“da“192.168.1.0“a“192.168.1.255,‘Áµossia“l'in˜tero“dominio“di“ClasseŽ¡C.–U Non“si“doš¸èvrebbGe“in˜v˜ece“a˜v˜ere“la“riga:Ž¤‰à‘þ°ºpermit–?¬192.168.1.0“0.0.0.0Ž¡¹dal–U momenš¸èto“c˜he“ammetter€à“qualsiasi“indirizzo,“indistin˜tamen˜te.ŽŸؼP•¸èertan“to,‘prima–é di“tutto“si“abilitino“tutti“gli“indirizzi“cš¸èhe“si“v˜ogliono“abilitare“e“si“neghino“i“restan˜ti.‘-=P˜erŽ¤ ®ammettere–U tutti“coloro“cš¸èhe“sono“presen˜ti“nel“dominio“192.168.1.xxx,“le“righe:Ž¦‘þ°ºpermit–?¬192.168.1.0“255.255.255.0Ž¡‘þ°deny–?¬0.0.0.0“0.0.0.0ŽŽŽŒ‹X€ Û_2 ý ~?Ÿ„€ÕÁGŽÁ11.‘ñ8Il–Õproš®>xy“serv˜er“SOCKS’?]á¹26ŽŽ ÕÁ ýV¯funzioneranno–}þcorrettamenš¸ète.‘ìNotare“il“primo“º"¹0.0.0.0º"“¹della“riga“den˜y‘ÿ*¸.‘ìCon“un“moGdicatore“0.0.0.0,‘È5ilŽ© ®campšGo–U dell'indirizzo“IP“non“€è“rilev‘ÿqÐan¸ète.‘q€T‘ÿ*¸utti“zero“€è“la“norma“p˜erc¸èh€é“€è“semplice“digitarli.Ž¤ؼ€È–U consenš¸ètita“pi€ù“di“una“v˜ošGce“p˜er“ciascun“tip˜o.Ž¡€È‘ëñancš¸èhe–ì pGossibile“fornire“o“negare“gli“accessi“a“degli“uten˜ti“spGecici,‘tramite“l'auten˜ticazione“iden˜t.‘NyNon“tuttiŽ¦i–Øžsistemi“suppšGortano“iden¸èt,‘ñ…tra“cui“T‘ÿ*¸rump˜et“Winso˜c•¸èk,‘ñ…p˜ertan“to–Øžquesto“argomen¸èto“non“sar€à“trattato“in“questaŽ¦sede.‘q€La–U došGcumen¸ètazione“a“corredo“di“so˜cš¸èks“€è“del“tutto“adeguata“riguardo“questo“argomen˜to.ŽŸ ÖÁ11.2.2Ž‘(áIl–Õle“di“instradamen®>toŽŸMª¹Il–Îfle“di“instradamenš¸èto“in“SOCKS‘ÎD€è“infelicemen˜te“c˜hiamato“º"¹soGc˜ks.confº"¹.‘D˜L'º"¹infelicemen˜teº"“¹€è“do˜vuto“al“fattoŽ¦cš¸èhe–U appare“molto“simile“a“quello“del“le“di“accesso,“pGertan˜to“p•Gotrebb“e–U essere“facile“confonderli.Ž¡Il–ÔÔle“di“instradamenš¸èto“informa“il“clien˜t“SOCKS‘Ô³quando“utilizzare“soGc˜ks“e“quando“non“farlo.‘ðœA˜d“esempio,Ž¦nella–ƒ…nostra“rete,‘192.168.1.3“non“aš¸èvr€à“bisogno“di“utilizzare“soGc˜ks“pGer“parlare“con“192.168.1.1,‘il“rew˜all,‘inŽ¦quanš¸èto–]”pGossiede“una“connessione“diretta“via“Ethernet“e“denisce“automaticamen˜te“127.0.0.1,‘ossia“il“loGopbac˜k.Ž¦Naturalmenš¸ète–U non“€è“necessario“SOCKS“pGer“parlare“con“se“stessi.‘q€Esistono“tre“v˜oGci:Ž©ؼ‘¸ŽŽŽ‘¹den¸èyŽ¤®‘¸ŽŽŽ‘¹directŽ¡‘¸ŽŽŽ‘¹soGc¸èkdŽ¦Denš¸èy–tþspGecica“a“SOCKS‘t´quando“respingere“una“ric˜hiesta.‘ÑQuesta“v˜ošGce“p˜ossiede“gli“stessi“tre“campi“gi€àŽ¤ ®descritti–lþpšGer“so˜c•¸èkd.conf:‘¡=iden“ticatore,‘²öindirizzo–lþe“mo˜dicatore.‘¹Generalmenš¸ète,‘²ödal“momen˜to“c˜he“questoŽ¡viene–ägestito“ancš¸èhe“da“soGc˜kd.conf,›Üil“le“di“accesso,˜il“campšGo“del“mo˜dicatore“€è“imp˜ostato“a“0.0.0.0.‘wSe“siŽ¡vuole–U precludere“se“stessi“dal“cš¸èhiamare“qualsiasi“pGosto,“pu€ò“essere“fatto“in“questo“pun˜to.ŽŸؼLa–d%v¸èošGce“direct“sp˜ecica“gli“indirizzi“p˜er“i“quali“non“dev¸èe“essere“utilizzato“so˜c¸èks.‘žSi“tratta“degli“indirizziŽ¡cš¸èhe–ߊpGossono“essere“raggiun˜ti“senza“il“pro˜xy“serv˜er.‘½Ancora“una“v˜olta,‘$abbiamo“i“tre“campi:‘†Siden˜ticatore,Ž¡indirizzo–U e“mošGdicatore.‘q€Nel“nostro“esempio“corrisp˜onderebb˜e“a:Ž¦‘þ°ºdirect–?¬192.168.1.0“255.255.255.0Ž¦¹cš¸èhe–U pGermette“di“andare“direttamen˜te“o˜vunque“nella“nostra“rete“protetta.ŽŸؼLa–MÞv¸èošGce“so˜c¸èkd“inne“sp˜ecica“al“computer“quale“host“ha“in“esecuzione“il“demone“serv¸èer“so˜cš¸èks.‘oLa“sin˜tassi“€è:Ž¦‘ Xºsockd–?¬@=Ž¦¹Si–ÂWnoti“la“v¸èošGce“@=.‘¹$Questa“p˜ermette“di“imp˜ostare“gli“indirizzi“IP‘Â;di“una“lista“di“proš¸èxy“serv˜er.‘¹$Nel“nostroŽ¡esempio,‘ʾviene–³8utilizzato“un“unico“proš¸èxy“serv˜er.‘‹ÉT‘ÿ*¸utta˜via“€è“pGossibile“a˜v˜erne“molti“pGer“consen˜tire“un“caricoŽ¡maggiore–U e“pšGer“a•¸èv“ere–U a“disp˜osizione“una“ridondanza“in“caso“di“errore.ŽŸؼI›`‰campi–`Œdi“indirizzo“IP˜e“di“moGdicatore“funzionano“esattamenš¸ète“come“negli“altri“esempi.‘“ÄA˜ttra˜v˜erso“questiŽ¡€è–U pšGossibile“sp˜ecicare“do•¸èv“e›U dev“ono˜andare˜gli˜indirizzi.ŽŸ ÖÁ11.2.3Ž‘(áDNS–Õpresenš®>te“dietro“il“Firew˜allŽŸMª¹L'impGostazione–5Õdel“Domain“Name“Service“da“dietro“un“rewš¸èall“€è“un“compito“relativ‘ÿqÐamen˜te“semplice.‘gPrimaŽ¡€è–ØZnecessario“impGostare“il“DNS‘Ø8sulla“maccš¸èhina“rew˜all“e“pGoi“congurare“ogni“macc˜hina“dietro“al“rew˜all“inŽ¡mošGdo–U c¸èhe“p˜ossa“utilizzare“questo“DNS.ŽŽŽŒ‹cÖ Û_2 ý ~?Ÿ„€ÕÁGŽÁ11.‘ñ8Il–Õproš®>xy“serv˜er“SOCKS’?]á¹27ŽŽ ÕÁ ýV¯Ã11.3Ž‘%}¨La• v“orare–¸con“un“Proš xy“Serv˜erŽ¤MªÁ11.3.1Ž‘(áUnixŽ¡¹Pš¸èer–Šfare“in“moGdo“c˜he“le“proprie“applicazioni“funzionino“con“il“pro˜xy“serv˜er,‘²°do˜vranno“essere“º"¹SOCKettizzateº"¹.Ž¤ ®Saranno–;$necessarie“due“div¸èerse“tipšGologie“di“telnet,‘s‰una“p˜er“la“com¸èunicazione“diretta“e“una“p˜er“la“com¸èunicazioneŽ¡tramite–XGil“proš¸èxy“serv˜er.‘8SOCKS‘Xfornisce“delle“istruzioni“su“come“SOCKettizzare“un“programma,‘ŠÙcome“pure“unŽ¡paio–Ÿ&di“programmi“pre-SOCKettizzati.‘4ØSe“si“utilizza“una“vš¸èersione“SOCKettizzata“pGer“andare“direttamen˜te“daŽ¡qualcš¸èhe–Zparte,‘OSOCKS‘Esi“comm˜uter€à“automaticamen˜te“nella“v˜ersione“diretta.‘U>P˜er“questo“motiv˜o“si“v˜orrannoŽ¡rinominare–îtutti“i“programmi“sulla“rete“protetta“e“sostituirli“con“i“programmi“SOCKettizzati.‘$éº"¹Fingerº"Ž¡¹div•¸èen“ter€à–hº"¹nger.origº"¹,‘lϺ"¹telnetº"“¹div•¸èen“ter€à–hº"¹telnet.origº"“¹ecc.‘ªWBisogner€à“inoltre“informare“SOCKS‘hdi“ogn¸èunoŽ¡di–U questi“cam•¸èbiamen“ti–U tramite“il“le“include/soGc¸èks.h.ŽŸؼAlcuni–?~programmi“saranno“in“grado“di“gestire“l'instradamenš¸èto“e“la“SOCKettizzazione“pGer“con˜to“loro.‘õNetscapGeŽ¡€è–8¸uno“di“questi.‘ I€È‘8ws“con“T‘ÿ ºrumpšQÂet“Winso˜c®>kŽŸMª¹T‘ÿ*¸rump•Get››(Winso“c¸èk˜viene˜gi€à˜distribuito˜con˜il˜supp“orto˜in¸ètrinseco˜p“er˜i˜serv•¸èer˜pro“xy‘ÿ*¸.‘C˜Nel˜men“u˜di˜º"¹setupº"¹,Ž¡si–ginseriscano“l'indirizzo“IP‘Wdel“servš¸èer,‘"%e“gli“indirizzi“di“tutti“i“computer“raggiungibili“direttamen˜te.‘\BT‘ÿ*¸rumpGetŽ¡pro•¸èvv“eder€à–U pGoi“a“gestire“tutti“i“pacc¸èhetti“in“uscita.Ž¦Á11.3.3Ž‘(áCome–Õfar“funzionare“il“Proš®>xy“Serv˜er“con“i“pacc˜hetti“UDPŽ©Mª¹Il–€ápaccš¸èhetto“SOCKS‘€Öfunziona“solamen˜te“con“i“pacc˜hetti“TCP›ÿ*¸,“non“con“quelli“UDP˜.“Questa“caratteristica“loŽ¡rende–B›leggermenš¸ète“meno“utile.‘kTMolti“programmi“in˜teressan˜ti,‘FOcome“talk“e“Arc˜hie,‘FOutilizzano“UDP‘ÿ*¸.“Esiste“unŽ¡paccš¸èhetto– ästudiato“pGer“essere“usato“come“pro˜xy“serv˜er“pGer“pacc˜hetti“UDP‘ ´denominato“UDPrela˜y›ÿ*¸,‘:Ôdi“T˜omŽ¡Fitzgerald›yµ<¹tz@w•¸èang.comµ>¹.‘Ý!Sfortunatamen“te,‘ønel˜momen“to˜in˜cui˜viene˜scritto˜questo˜doGcumen“to,‘ønon˜€èŽ¡compatibile–U con“Lin¸èux.ŽŸ#ÃÃ11.4Ž‘%}¨Sv‘ÿ@ anš taggi–¸dei“Pro˜xy“Serv˜erŽ¦¹Il–à$proš¸èxy“serv˜er“€è“soprattutto“un“ºdispositivo–?¬di“sicurezza¹.‘Un–à$suo“utilizzo“pGer“aumen˜tare“l'accesso“adŽ¡inš¸èternet–åcon“limitati“indirizzi“IP‘µcauser€à“molti“sv‘ÿqÐan˜taggi.‘¡ÐUn“pro˜xy“serv˜er“consen˜tir€à“un“maggior“accessoŽ¡dall'inš¸èterno– della“rete“protetta“v˜erso“l'esterno,‘) ma“man˜terr€à“l'in˜terno“completamen˜te“inaccessibile“dall'ester-Ž¡no.‘QsCi€ò–ô÷implica“l'impGossibilit€à“di“a•¸èv“ere–ô÷connessioni“servš¸èer,‘2talk“o“arc˜hie“oppure“mail“dirette“v˜erso“i“computerŽ¡presen•¸èti›•šall'in“terno.‘2ïQuesti˜sv‘ÿqÐan“taggi˜p•Gotrebb“ero˜sem•¸èbrare˜irrilev‘ÿqÐan“ti,‘¥¹ma˜bisogna˜pGensare˜ad˜essi˜in˜questiŽ¡termini:ŽŸؼ‘¸ŽŽŽ‘¹Un–,ÑrepGort“su“cui“state“la•¸èv“orando–,Ñsul“vš¸èostro“computer“€è“stato“lasciato“all'in˜terno“della“rete“protettaŽ¡‘con–m1rewš¸èall.‘¹³Vi“tro˜v‘ÿqÐate“a“casa,‘s5e“decidete“di“la˜v˜orarci“ancora“un“pšGo'.‘¹³Ma“questo“non“€è“p˜ossibile.‘¹³NonŽ¡‘pšGotete–Èãraggiungere“il“v¸èostro“computer“p˜ercš¸èh€é“si“tro˜v‘ÿqÐa“al“di“l€à“del“rew˜all.‘ÌÈP˜er“prima“cosa“cerc˜hereteŽ¡‘di–âpconnettervi“al“ºfirewall¹,‘Ãma“dal“momenš¸èto“c˜he“tutti“hanno“un“accesso“pro˜xy“serv˜er,‘Ãnessuno“a˜vr€àŽ¡‘impšGostato–U un“accoun¸èt“p˜er“v¸èoi.ŽŸ®‘¸ŽŽŽ‘¹V›ÿ*¸ostra–Sêglia“frequen¸èta“il“college.‘mÝV˜olete“inš¸èviarle“un'email.‘mÝA‘þã v˜ete“alcuni“aari“pGersonali“di“cui“par-Ž¡‘lare,‘vúe–p5preferireste“pšGoter“ricev¸èere“la“p˜osta“direttamenš¸ète“sulla“v˜ostra“macc˜hina.‘¾A‘þã v˜ete“completa“duciaŽ¡‘nell'amministratore–U del“sistema,“tutta¸èvia“si“tratta“pur“sempre“di“pGosta“priv‘ÿqÐata.ŽŽŽŒ‹rÍ Û_2 ý ~?Ÿ„€ÕÁGŽÁ12.‘ñ8Congurazioni‘Õa®>v‘ÿ\|anzate’v‘ÿ\|anzate’xyŽŸMª¹Ora,‘Ó,dal–²¯momenš¸èto“c˜he“tutti“e“tre“i“liv˜elli“v˜ogliono“essere“in“grado“di“monitorare“la“rete“pGer“i“propri“scopi,‘Ó,tuttiŽ¦e–ºtre“hanno“bisogno“di“un“accesso“alla“rete.‘_³La“rete“esterna“€è“connessa“direttamenš¸ète“ad“in˜ternet,‘*hpGertan˜to“inŽ¦questo–D¸caso“non“dobbiamo“preoGccuparci“dei“proš¸èxy“serv˜er.‘lLe“reti“dei“Mercenari“e“della“T‘ÿ*¸ruppa“si“tro˜v‘ÿqÐano“alŽ¦di–U l€à“del“rewš¸èall,“pGertan˜to“€è“necessario“impGostare“dei“pro˜xy“serv˜er.Ž¡En•¸ètram“bšGe–µle“reti“hanno“un'imp˜ostazione“molto“simile.‘[²Aš¸èd“en˜tram˜bGe“v˜engono“assegnati“gli“stessi“indirizzi“IP‘ÿ*¸.Ž¦Inserir€ò–U un“paio“di“parametri,“solo“pGer“rendere“le“cose“pi€ù“in•¸èteressan“ti.Ž¤ؼ‘ 9b1.ŽŽŽ‘Nessuno–²Äpu€ò“utilizzare“il“le“servš¸èer“pGer“l'accesso“ad“In˜ternet.‘ŠmQuesto“esp•Gorrebb“e–²Äil“le“serv˜er“a“virusŽ¦‘ed–U altri“problemi,“ed“€è“quindi“molto“impGortanš¸ète“e“assolutamen˜te“da“evitare.ŽŸ®‘ 9b2.ŽŽŽ‘Non–ļvš¸èerr€à“consen˜tito“l'accesso“della“T›ÿ*¸ruppa“al“W˜orld“Wide“W˜eb,‘ ¤dal“momenš¸èto“c˜he“sono“inŽ¦‘addestramen¸èto,–U questo“pšGotere“di“recup˜ero“di“informazioni“p˜otrebb˜e“essere“p˜ericoloso.Ž¡P•¸èertan“to,–U il“le“sošGc¸èkd.conf“sulla“b˜oš¸èx“Lin˜ux“della“T‘ÿ*¸ruppa“con˜terr€à“la“riga:Ž¡‘þ°ºdeny–?¬192.168.1.17“255.255.255.255Ž¡¹e–U sulla“macc¸èhina“Mercenaria:Ž¡‘þ°ºdeny–?¬192.168.1.23“255.255.255.255ŽŽŽŒ‹“´ Û_2 ý ~?Ÿ„€ÕÁGŽÁ13.‘ñ8Semplicare–Õla“gestione’=óM¹30ŽŽ ÕÁ ýV¯Inoltre,–U la“bGoš¸èx“Lin˜ux“della“T‘ÿ*¸ruppa“a˜vr€à“anc˜he“la“seguen˜te“linea:Ž¤Ða‘þ°ºdeny–?¬0.0.0.0“0.0.0.0“eq“80Ž¡¹cš¸èhe–ÇÄindica“di“negare“l'accesso“a“tutte“le“macc˜hine“c˜he“cercano“di“accedere“alla“pšGorta“uguale“(eq)“a“80,‘ä la“p˜ortaŽ© ®h•¸èttp.‘q€Questa›U con“tin“uer€à˜a˜consen“tire˜tutti˜gli˜altri˜servizi,˜nega˜solo˜l'accesso˜al˜W‘ÿ*¸eb.ŽŸؼQuindi,›U en•¸ètram“bi˜i˜le˜con“terranno:Ž¡‘þ°ºpermit–?¬192.168.1.0“255.255.255.0Ž¡¹pGer–Ä°consenš¸ètire“a“tutti“i“computer“sulla“rete“192.168.1.xxx“di“utilizzare“questo“pro˜xy“serv˜er,‘à”fatta“eccezioneŽ¦pšGer–U quelli“ai“quali“l'accesso“€è“gi€à“stato“negato“(cio˜€è,“il“le“serv¸èer“e“l'accesso“al“W‘ÿ*¸eb“p˜er“la“rete“T‘ÿ*¸ruppa).ŽŸؼIl–U le“soGcš¸èkd.conf“della“T‘ÿ*¸ruppa“a˜vr€à“il“seguen˜te“formato:Ž¤@‘þ°ºdeny–?¬192.168.1.17“255.255.255.255Ž¦‘þ°deny–?¬0.0.0.0“0.0.0.0“eq“80Ž¦‘þ°permit–?¬192.168.1.0“255.255.255.0Ž¡¹menš¸ètre–U il“le“Mercenario“a˜vr€à:Ž¡‘þ°ºdeny–?¬192.168.1.23“255.255.255.255Ž¦‘þ°permit–?¬192.168.1.0“255.255.255.0Ž¡¹Questo–‹doš¸èvrebbGe“congurare“tutto“correttamen˜te.‘lOgni“rete“€è“isolata“di“conseguenza,‘Ø—con“l'appropriatoŽ¦nš¸èumero–U di“in˜terazioni.‘q€T‘ÿ*¸utti“do˜vrebbGero“essere“felici.ŽŸ(“À13Ž‘¬%Semplicare–G\la“gestioneŽŸèÃ13.1Ž‘%}¨T‘þào•_úol›¸p“er˜il˜rew allŽŸMª¹Esistono–U molti“paccš¸èhetti“soft˜w˜are“c˜he“sono“in“grado“di“rendere“pi€ù“semplice“la“gestione“del“rew˜all.Ž¤ؼSi–fpresti“pšGer€ò“attenzione,‘'¾non“si“utilizzino“questi“to˜ol“almeno“c¸èhe“non“se“ne“p˜ossa“fare“a“meno.‘^—Questi“scriptŽ¦inducono–U a“commettere“errori“con“la“stessa“facilit€à“con“cui“pGermettono“di“gestire“le“regole.Ž¡Sia–ìúle“inš¸èterfacce“grac˜he“sia“quelle“basate“sul“w˜eb“sono“state“sviluppate“pšGer“op˜erare“con“le“regole“di“ltraggioŽ¦di–ºÖLinš¸èux.‘¢¢Alcune“compagnie“hanno“pGerno“creato“dei“rew˜all“commerciali“basati“su“Lin˜ux,‘CutilizzandoŽ¦proprie–U bšGo¸èx“con“proprio“co˜dice“di“gestione“(b˜ello).Ž¡In–°`realt€à“non“sono“un“fan“delle“GUI.“Comš¸èunque,‘ÑSho“utilizzato“rew˜all“con“in˜terfacce“GUI‘°6pšGer“un“p˜o'“di“temp˜oŽ¦e–1²ho“constatato“c¸èhe“in“eetti“aiutano“a“fornire“un“comošGdo“rep˜ort“di“tutte“le“regole,‘8Èp˜er“una“rapida“o˜cc¸èhiata.Ž¡gfcc–\(GTK+“Firewš¸èall“Con˜trol“Cen˜ter)“€è“un'applicazione“GTK+,‘Lëbasata“su“ipGc˜hains,‘Lëc˜he“consen˜te“di“con-Ž¦trollare–€xle“tatticš¸èhe“e“le“regole“del“rew˜all“di“Lin˜ux.‘ ó‰Si“v‘ÿqÐada“all'indirizzo“Ähttp://ic–ÿ}/arus.autosto“ck.c“o.krŽ¦ºhttp://icarus.autostock.co.kr/–U ¹e“ci“si“prošGcuri“la“propria“copia.‘q€Questo“€è“un“to˜ol“da•¸èvv“ero‘U buono.Ž¡Sono–PªdispšGonibili“parecc¸èhi“script“p˜er“imp˜ostare“un“rewš¸èall,‘Ïuno“script“da˜vv˜ero“completo“€è“presen˜te“al-Ž¦l'indirizzo‘)aÄhttp://www.jasmine.or–ÿ}/g.uk/simon/b“o“okshelf/p“ap“ers/instant-r“ewal›‚Ðl/instant-r“ewal˜l.html‘)aºhttp:Ž¦//www.jasmine.org.uk/~simon/bookshelf/papers/instant-–€firewall/instant-“firewall.html‘µƒ¹.‘ ’¨UnŽ¦altro–U script“bšGen“fatto“€è“disp˜onibile“all'indirizzo“Ähttp://www.p–ÿ}/ointman.or“g/–U ºhttp://www.pointman.org/“¹.Ž¡Krewš¸èall– Ñ€è“un'in˜terfaccia“GUI‘ RpšGer“ip˜cš¸èhains“o“ipfw˜adm“(dipGende“dal“proprio“k˜ernel)Ž¦Ähttp://me–ÿ}/gaman.ypsilonia.net/kr“ewal‘‚Ðl/–U ºhttp://megaman.ypsilonia.net/kfirewall/“¹.ŽŽŽŒ‹£Z Û_2 ý ~?Ÿ„€ÕÁGŽÁ14.‘ñ8Raggirare–Õun“rewš®>all“pro˜xy’)”î¹31ŽŽ ÕÁ ýV¯Fš¸èCT‘€è–èun“toGol“di“congurazione“di“rew˜all“basato“su“HTML.“Comprende“generazione“automaticaŽ¤ ®di–IÃscript“pGer“comandi“di“ltraggio“IP‘Hÿ(ipfwš¸èadm)“su“rew˜all“con“in˜terfacce“m˜ultiple“e“pGer“qualsiasiŽ¡servizio–Òˆin¸èternet“Ähttp://www.fen.b–ÿ}/aynet.de/ft114/F¾˜CT/r“ewal‘‚Ðl.htm‘Òˆºhttp://www.fen.baynet.de/~ft114/Ž¡FCT/firewall.htm‘U ¹.ŽŸ#ÃÃ13.2Ž‘%}¨T‘þào_úol‘¸genericiŽŸMª¹W‘ÿ*¸ebmin–ü¦€è“un“pacc¸èhetto“di“amministrazione“generale“del“sistema.‘ hNon“€è“di“aiuto“pGer“gestire“le“regoleŽ¡del–^èrewš¸èall“ma“€è“com˜unque“utile“pšGer“abilitare“e“disabilitare“i“demoni“e“i“pro˜cessi.‘ŽØQuesto“programma“€èŽ¡VERAMENTE–U buono,“spšGero“c¸èhe“J.“Cameron“includa“un“mo˜dulo“p˜er“IPCHAINS.Ž¤ؼSe–U siete“un“ISP‘ÿ*¸,“vi“inš¸èteresser€à“sapGere“qualcosa“a“riguardo“di“IPF‘þã A“(IP“Firew˜all“A˜ccoun˜ting)Ž¡Ähttp://www.so–ÿ}/aring-bir“d.c“om/ipfa/–ߺhttp://www.soaring-‘€bird.com/ipfa/“¹.‘ XConsen¸ète“di“gestire“log“pGerŽ¤ ®mese/giorno/min¸èuto,–U inoltre“ha“una“GUI“pGer“l'amministrazione“basata“sul“W‘ÿ*¸eb.ŽŸ(ÀœÀ14Ž‘¬%Raggirare–G\un“rewšcall“pro˜xyŽŸ¿:¹Giusto–^pšGer“ro¸èvinare“la“giornata,‘-­e“p˜er“far“tenere“i“piedi“p˜er“terra“circa“la“sicurezza,‘-­descrivš¸èer€ò“quan˜to“siaŽ¡facile–U raggirare“un“rewš¸èall“pro˜xy‘ÿ*¸.Ž©ؼOra–ѹdopšGo“a•¸èv“er–ѹfatto“tutto“quan¸èto“descritto“in“questo“do˜cumenš¸èto“si“ha“un“serv˜er“ed“una“rete“v˜eramen˜te“sicuri.Ž¡Si–¦pGossiede“un“DMZ‘¥æe“nessuno“pu€ò“accedere“alla“rete,‘Éinoltre“si“registrano“tutte“le“connessioni“eettuate“v¸èersoŽ¡il–U mondo“esterno.‘q€T‘ÿ*¸utti“gli“utenš¸èti“passano“pGer“il“pro˜xy“e“nessuno“pu€ò“accedere“ad“In˜ternet“direttamen˜te.Ž¦Uno–U degli“uten¸èti,“con“una“connessione“dedicata“propria,“viene“pGer€ò“a“conoscenza“diŽ¦Ähttptunnel–a&ºhttp://www.nocrew.org/software/httptunnel.html“¹.‘•’h¸èttptunnel“crea“un“canale“dati“virtualeŽ¡bidirezionale–j(incapsulato“in“ricš¸èhieste“HTTP‘ÿ*¸.“Se“desiderato“le“ric˜hieste“HTTP‘iìpGossono“essere“in˜viate“attra˜v˜ersoŽ¡il–U pro¸èxy“HTTP‘ÿ*¸.Ž¦Oppure,› Ânel–³;loro“sistema,˜gli“utenš¸èti“p•Gotrebb“ero–³;installare“una“Virtual“Priv‘ÿqÐate“Net˜w˜ork“(vpn).‘‹ÒVisitare:Ž¡Ähttp://sunsite.auc.dk/vpnd/‘U ºhttp://sunsite.auc.dk/vpnd/Ž¦¹O–U ancora“questo“utenš¸ète“p•Gotrebb“e–U aggiungere“un“moGdem“al“sistema“NT“e“accedere“all'instradamen˜to.Ž¦Inne–Æ'sulla“w¸èorkstation,›âinella“LAN‘Æ priv‘ÿqÐata,˜p•Gotrebb“e–Æ'camš¸èbiare“il“gatew˜a˜y“di“default“in“moGdo“c˜he“pun˜ti“alŽ¡n•¸èuo“v“o›U instradamen“to˜v“erso˜In“ternet.Ž¦Ora,–Þ dalla›uw¸èorkstation,“si˜pu€ò˜andare˜o•¸èvunque.‘ ~L'unica˜cosa˜c“he˜l'amministratore˜del˜rew“all˜p•Gotrebb“eŽ¡notare–U €è“c¸èhe“qualcuno“si“sta“connettendo“con“un“accesso“DNS“molto“lungo.Ž¦Siete–U pron¸èti“a“conquistare“il“mondo!ŽŸ(ÀœÀ15Ž‘¬%APPENDICE–G\A“-“Script“di“esempioŽŸèÃ15.1Ž‘%}¨Script–¸Rš C“usando“GF˜CCŽŸMªº#!/bin/bashŽ¡#Ž¡#–?¬Firewall“Script“-“Versione“0.9.1Ž¡#Ž¡#–?¬chkconfig:“2345“09“99Ž¡#–?¬description:“script“firewall“per“i“kernel“2.2.xŽŽŽŒ‹ °Ú Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹32ŽŽ ÕÁ ýV¯¤ ®º#–?¬Da“impostare“per“i“test:Ž¡#–?¬set“-xŽ¡#Ž¡#‘?¬NOTE:Ž¡#Ž¡#‘ XQuesto–?¬script“€è“stato“scritto“per“la“RedHat“6.1“o“pi€ù“recente.Ž¡#Ž¡#‘ XPrestare–?¬attenzione“per“quanto“riguarda“l'offerta“di“servizi“pubblici“quali“web“o“ftp“server.Ž¡#Ž¡#‘?¬INSTALLAZIONE:Ž¡#› X1.–?¬si“collochi“questo“file“nella“directory“/etc/rc.d/init.d˜(si“deve“essere“root..)Ž¡#‘>\lo–?¬si“chiami“con“qualcosa“come“"firewall"‘þ°:-)Ž¡#‘>\lo–?¬si“renda“di“propriet€à“del“root“-->‘ X"chown“root.root“(filename)"Ž¡#‘>\lo–?¬si“renda“eseguibile“-->‘ X"chmod“755“(filename)"Ž¡#‘ X2.–?¬si“utilizzi“GFCC“per“creare“le“regole“per“il“firewall“ed“esportale“in“un“fileŽ¡#‘>\con–?¬nome“/etc/gfcc/rules/firewall.rule.shŽ¡#Ž¡#‘ X3.–?¬si“aggiunga“il“firewall“alla“struttura“init“della“RH“-->“"chkconfig“--add“(filename)"Ž¡#‘>\Al–?¬successivo“boot“del“router,“tutto“dovrebbe“sistemarsi“automagicamente!Ž¡#‘>\si–?¬dorma“pure“tranquilli“la“notte“sapendo“di“essere“*MENO*“vulnerabile“di“prima...Ž¡#Ž¡#–?¬NOTE“SULLE“VERSIONI:Ž¡#‘¿30–?¬Jan,“2000“-“Modificato“per“lo“script“GFCCŽ¡#‘¿11–?¬Dec,“1999“-“aggiornamento“di“Mark“Grennan“Ž¡#‘¿20–?¬July,“1999“-“scrittura“iniziale“-“Anthony“Ball“Ž¡¡################################################Ž¡¡#–?¬Libreria“funzioni.Ž¡.‘?¬/etc/rc.d/init.d/functionsŽ¡¡#–?¬Configurazione“rete.Ž¡.‘?¬/etc/sysconfig/networkŽ¡¡#–?¬Controlla“che“la“rete“sia“presente.Ž¡[–?¬${NETWORKING}“=“"no"“]“&&“exit“0Ž¡¡#–?¬Controlla“cosa“€è“stato“richiestoŽ¡case–?¬"$1"“inŽ¡¡‘ Xstart)Ž¡‘)ý`#–?¬Inizia“a“fornire“gli“accessiŽ¡‘)ý`action–?¬"Starting“firewall:“"“/bin/trueŽ¡‘)ý`/etc/gfcc/rules/firewall.rule.shŽ¡‘)ý`echoŽ¡‘)ý`;;Ž¡¡‘ Xstop)Ž¡‘)ý`action–?¬"Stoping“firewall:“"“/bin/trueŽŽŽŒ‹!½h Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹33ŽŽ ÕÁ ýV¯‘)ý`ºecho–?¬0“>“/proc/sys/net/ipv4/ip_forwardŽ¤ ®‘)ý`/sbin/ipchains–?¬-F“inputŽ¡‘)ý`/sbin/ipchains–?¬-F“outputŽ¡‘)ý`/sbin/ipchains–?¬-F“forwardŽ¡¡‘)ý`echoŽ¡‘)ý`;;Ž¡¡‘ Xrestart)Ž¡‘)ý`action–?¬"Restarting“firewall:“"“/bin/trueŽ¡‘)ý`$0‘?¬stopŽ¡‘)ý`$0‘?¬startŽ¡¡‘)ý`echoŽ¡‘)ý`;;Ž¡¡‘ Xstatus)Ž¡‘)ý`#–?¬Visualizza“elenco“di“tutte“le“regoleŽ¡‘)ý`/sbin/ipchains‘?¬-LŽ¡‘)ý`;;Ž¡¡‘ Xtest)Ž¡‘)ý`action–?¬"Test“Mode“firewall:“"“/bin/trueŽ¡‘)ý`/sbin/ipchains–?¬-F“inputŽ¡‘)ý`/sbin/ipchains–?¬-F“outputŽ¡‘)ý`/sbin/ipchains–?¬-F“forwardŽ¡‘)ý`echo–?¬1“>“/proc/sys/net/ipv4/ip_forwardŽ¡‘)ý`/sbin/ipchains–?¬-A“input“-j“ACCEPTŽ¡‘)ý`/sbin/ipchains–?¬-A“output“-j“ACCEPTŽ¡‘)ý`/sbin/ipchains–?¬-P“forward“DENYŽ¡‘)ý`/sbin/ipchains–?¬-A“forward“-i“$PUBLIC“-j“MASQŽ¡¡‘)ý`echoŽ¡‘)ý`;;Ž¡¡‘ X*)Ž¡‘)ý`echo–?¬"Usage:“$0“{start|stop|restart|status|test}"Ž¡‘)ý`exit‘?¬1Ž¡¡esacŽŸ#ÃÃ15.2Ž‘%}¨GF CC‘¸scriptŽŸMª¹Questo–|œscript“€è“stato“generato“da“Graphical“Firewš¸èall“program“(GF˜CC).“Questo“non“€è“l'insieme“delle“regoleŽ¡in–U funzione,“€è“l'insieme“delle“regole“espGortate.ŽŸؼ¡º#!/bin/shŽ¡#–?¬Generato“da“Gtk+“firewall“control“centerŽ¡ŽŽŒ‹"Äå Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹34ŽŽ ÕÁ ýV¯ºIPCHAINS=/sbin/ipchainsŽ¤ ®¡¡localnet="192.168.1.0/24"Ž¡firewallhost="192.168.1.1/32"Ž¡localhost="172.0.0.0/8"Ž¡DNS1="24.94.163.119/32"Ž¡DNS2="24.94.163.124/32"Ž¡Broadcast="255.255.255.255/32"Ž¡Multicast="224.0.0.0/8"Ž¡Any="0.0.0.0/0"Ž¡mail_grennan_com="192.168.1.1/32"Ž¡mark_grennan_com="192.168.1.3/32"Ž¡¡$IPCHAINS–?¬-P“input“DENYŽ¡$IPCHAINS–?¬-P“forward“ACCEPTŽ¡$IPCHAINS–?¬-P“output“ACCEPTŽ¡¡$IPCHAINS‘?¬-FŽ¡$IPCHAINS‘?¬-XŽ¡¡#–?¬regole“catena“inputŽ¡$IPCHAINS–?¬-A“input“-s“$Any“-d“$Broadcast“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-p“udp“-s“$Any“-d“$Any“netbios-ns“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“netbios-ns“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-p“udp“-s“$Any“-d“$Any“netbios-dgm“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“netbios-dgm“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-p“udp“-s“$Any“-d“$Any“bootps“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-p“udp“-s“$Any“-d“$Any“bootpc“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-s“$Multicast“-d“$Any“-j“DENYŽ¡$IPCHAINS–?¬-A“input“-s“$localhost“-d“$Any“-i“lo“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-s“$localnet“-d“$Any“-i“eth1“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-s“$localnet“-d“$Broadcast“-i“eth1“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“icmp“-s“$Any“-d“$Any“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“-j“ACCEPT“!“-yŽ¡$IPCHAINS–?¬-A“input“-p“udp“-s“$DNS1“domain“-d“$Any“1023:65535“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“udp“-s“$DNS2“domain“-d“$Any“1023:65535“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“ssh“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“telnet“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“smtp“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“pop-3“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“auth“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“www“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-p“tcp“-s“$Any“-d“$Any“ftp“-j“ACCEPTŽ¡$IPCHAINS–?¬-A“input“-s“$Any“-d“$Any“-j“DENY“-lŽ¡¡#–?¬regole“catena“forwardŽ¡$IPCHAINS–?¬-A“forward“-s“$localnet“-d“$Any“-j“MASQŽ¡¡#–?¬regole“catena“outputŽŽŽŒ‹#Ê  Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹35ŽŽ ÕÁ ýV¯Ã15.3Ž‘%}¨Script–¸Rš C“senza“GF˜CCŽŸMª¹Questo–U €è“l'insieme“delle“regole“scritte“di“mio“pugno“pGer“il“rewš¸èall.‘q€Non“si“€è“utilizzato“GF˜CC.ŽŸؼ¤ ®‘ Xº#!/bin/bashŽ¡‘ X#Ž¡‘ X#–?¬Firewall“Script“-“Versione“0.9.0Ž¡¡‘ X#–?¬chkconfig:“2345“09“99Ž¡‘ X#–?¬description:“script“firewall“per“kernel“2.2.xŽ¡¡‘ X#–?¬Da“impostare“per“i“test:Ž¡‘ X#–?¬set“-xŽ¡¡‘ X#Ž¡‘ X#‘?¬NOTE:Ž¡‘ X#Ž¡– X#“Questo–?¬script“€è“stato“realizzato“per“essere“utilizzato“con“la“RedHat“6.0“o“versioni“pi€ù“recenti.Ž¡‘ X#Ž¡– X#“Questo–?¬script“dovrebbe“funzionare“con“la“maggior“parte“dei“router,“dial-up“e“modem.Ž¡– X#“E'–?¬stato“scritto“per“le“distribuzioni“RedHat.Ž¡‘ X#Ž¡– X#“Prestare–?¬attenzione“nel“caso“si“desideri“offrire“servizi“pubblici“come“web“o“ftp“server.Ž¡‘ X#Ž¡‘ X#‘?¬INSTALLAZIONE:Ž¡– X#“1.–?¬Questo“file“€è“pensato“per“un“sistema“RedHat.“DovrebbeŽ¡‘ X#‘>\funzionare,–?¬forse“senza“apportare“modifiche,“anche“su“altre“distro,“maŽ¡‘ X#‘>\ancora...chi–?¬lo“sa“?!!?“Queste“istruzioni“riguardano“i“sistemi“RedHat.Ž¡‘ X#Ž¡– X#“2.–?¬si“collochi“questo“file“in“/etc/rc.d/init.d‘ X(si“dovr€à“essere“l'utente“root..)Ž¡‘ X#‘>\e–?¬lo“si“denomini“con“qualcosa“come“"firewall"‘þ°:-)Ž¡› X#‘>\lo–?¬si“renda“di“propriet€à“del“root“-->˜"chown“root.root“"Ž¡› X#‘>\lo–?¬si“renda“eseguibile“-->˜"chmod“755“"Ž¡‘ X#Ž¡– X#“3.–?¬Si“impostino“i“valori“in“base“alla“propria“rete,“alle“interfacce“interne,“eŽ¡‘ X#‘>\ai–?¬server“DNS.Ž¡‘ X#‘>\Si–?¬rimuovano“i“commenti“alle“linee“presenti“pi€ù“avanti“per“abilitareŽ¡‘ X#‘>\i–?¬servizi“opzionali“verso“l'interno,Ž¡‘ X#‘>\ci–?¬si“assicuri“che“il“proprio“NIC“interno“sia“"eth0"“(altrimenti“si“cambi“il“valoreŽ¡‘ X#‘>\presente–?¬pi€ù“avanti).Ž¡› X#‘>\lo–?¬si“provi“-->˜"/etc/rc.d/init.d/“start"Ž¡› X#‘>\si–?¬visualizzi“un“elenco“delle“regole“-->˜"ipchains“-L“-n"Ž¡› X#‘>\si–?¬sistemi“tutto“ci€ò“che“non“va...˜:-)Ž¡‘ X#Ž¡– X#“4.–?¬Si“aggiunga“il“firewall“alla“struttura“init“della“RH“-->“"chkconfig“--add“"Ž¡‘ X#‘>\Al–?¬boot“successivo“del“root“tutto“dovrebbe“impostarsi“automagicamente!Ž¡‘ X#‘>\si–?¬dorma“pure“tranquilli“la“notte“sapendo“di“essere“*MENO*“vulnerabile“di“prima...Ž¡‘ X#Ž¡‘ X#–?¬NOTE“SULLE“VERSIONI:Ž¡‘ X#‘¿20–?¬July,“1999“-“scrittura“iniziale“-“Anthony“Ball“ŽŽŽŒ‹$Ò Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹36ŽŽ ÕÁ ýV¯‘ Xº#‘¿11–?¬Dec,“1999“-“aggiornamenti“di“Mark“Grennan“Ž¤ ®‘ X#Ž¡¡‘ X################################################Ž¡– X#“Sostituire–?¬i“valori“sottostanti“con“quelliŽ¡– X#“della–?¬propria“rete“locale.Ž¡¡‘ XPRIVATENET=xxx.xxx.xxx.xxx/xxŽ¡¡‘ XPUBLIC=ppp0Ž¡‘ XPRIVATE=eth0Ž¡¡‘ X#–?¬i“propri“server“dnsŽ¡‘ XDNS1=xxx.xxx.xxx.xxxŽ¡‘ XDNS2=xxx.xxx.xxx.xxxŽ¡¡‘ X################################################Ž¡¡‘ X#–?¬alcuni“pratici“valori“generici“da“usareŽ¡‘ XANY=0.0.0.0/0Ž¡‘ XALLONES=255.255.255.255Ž¡¡‘ X#–?¬Libreria“funzioni.Ž¡‘ X.‘?¬/etc/rc.d/init.d/functionsŽ¡¡‘ X#–?¬Configurazione“rete.Ž¡‘ X.‘?¬/etc/sysconfig/networkŽ¡¡‘ X#–?¬Controlliamo“che“la“rete“sia“presente.Ž¡‘ X[–?¬${NETWORKING}“=“"no"“]“&&“exit“0Ž¡¡‘ X#–?¬Vediamo“cosa“€è“stato“richiesto.Ž¡‘ Xcase–?¬"$1"“inŽ¡¡‘þ°start)Ž¡‘4|¸#–?¬Inizia“a“fornire“gli“accessiŽ¡‘4|¸action–?¬"Starting“firewall:“"“/bin/trueŽ¡¡‘4|¸##Ž¡‘4|¸##‘?¬SetupŽ¡‘4|¸##Ž¡‘4|¸#–?¬Ripulisci“tutte“le“listeŽ¡‘4|¸/sbin/ipchains–?¬-F“inputŽ¡‘4|¸/sbin/ipchains–?¬-F“outputŽ¡‘4|¸/sbin/ipchains–?¬-F“forwardŽ¡¡‘4|¸#–?¬Blocca“qualsiasi“cosaŽ¡‘4|¸/sbin/ipchains–?¬-I“input“1“-j“DENYŽ¡¡‘4|¸#–?¬imposta“la“tattica“a“deny“(per“default“€è“ACCEPT)ŽŽŽŒ‹%Ül Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹37ŽŽ ÕÁ ýV¯‘4|¸º/sbin/ipchains–?¬-P“input“DENYŽ¤ ®‘4|¸/sbin/ipchains–?¬-P“output“ACCEPTŽ¡‘4|¸/sbin/ipchains–?¬-P“forward“ACCEPTŽ¡¡‘4|¸#–?¬Abilitiamo“il“packet“forwardingŽ¡‘4|¸echo–?¬1“>“/proc/sys/net/ipv4/ip_forwardŽ¡¡‘4|¸##Ž¡‘4|¸##–?¬Installazione“dei“moduliŽ¡‘4|¸##Ž¡‘4|¸#–?¬Inserire“il“modulo“ftp“attivo.“Questo“permetter€à“ftp“non-passivo“versoŽ¡‘4|¸#–?¬le“macchine“della“rete“locale“(ma“non“verso“il“router“in“quanto“non“mascherato).Ž¡‘4|¸if–?¬!“(“/sbin/lsmod“|“/bin/grep“masq_ftp“>“/dev/null“);“thenŽ¡‘I{h/sbin/insmod‘?¬ip_masq_ftpŽ¡‘4|¸fiŽ¡¡‘4|¸##Ž¡‘4|¸##–?¬Alcune“caratteristiche“riguardanti“la“sicurezzaŽ¡‘4|¸##Ž¡‘4|¸#–?¬Abilitare“il“Source“Address“Verification“su“tutte“le“interfacceŽ¡‘4|¸#–?¬presenti“e“future“per“ottenere“la“protezione“dallo“spoof.Ž¡‘4|¸if–?¬[“-e“/proc/sys/net/ipv4/conf/all/rp_filter“];“thenŽ¡‘I{hfor–?¬f“in“/proc/sys/net/ipv4/conf/*/rp_filter;“doŽ¡‘^zecho–?¬1“>“$fŽ¡‘I{hdoneŽ¡‘4|¸elseŽ¡‘I{hechoŽ¡‘^zecho–?¬"PROBLEMI“NELL'ABILITARE“LA“PROTEZIONE“DALL'IP“SPOOFING.‘ XFARE“ATTENZIONE.“"Ž¡‘I{hechoŽ¡‘4|¸fiŽ¡¡‘4|¸#–?¬scarta“bcasts“sulle“interfacce“restantiŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-d“0.0.0.0“-j“DENYŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-d“255.255.255.255“-j“DENYŽ¡¡‘4|¸#–?¬scarta“i“seguenti“senza“loggarli“in“quanto“tendono“ad“essere“molti...Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“udp“-d“$ANY“137“-j“DENY‘¿#“NetBIOS“su“IPŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“137“-j“DENY–¿#“""Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“udp“-d“$ANY“138“-j“DENY–¿#“""Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“138“-j“DENY–¿#“""Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“udp“-d“$ANY“67“-j“DENY‘þ°#“bootpŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“udp“-d“$ANY“68“-j“DENY‘þ°#‘¿""Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-s“224.0.0.0/8“-j“DENY‘$½´#“indirizzi“MulticastŽ¡¡‘4|¸##Ž¡‘4|¸##–?¬Permetti“alla“rete“locale“di“uscireŽ¡‘4|¸##Ž¡‘4|¸#–?¬accetta“tutti“i“pacchetti“sull'interfaccia“loopbackŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-i“lo“-j“ACCEPTŽ¡ŽŽŒ‹&áí Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹38ŽŽ ÕÁ ýV¯‘4|¸º#–?¬accetta“tutti“i“pacchetti“provenienti“dalle“interfacce“interne“"fidate"Ž¤ ®‘4|¸/sbin/ipchains–?¬-A“input“-i“$PRIVATE“-s“$PRIVATENET“-d“$ANY“-j“ACCEPTŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-i“$PRIVATE“-d“$ALLONES“-j“ACCEPTŽ¡¡‘4|¸##Ž¡‘4|¸##–?¬Permetti“accessi“dall'esterno“ai“servizi“del“firewall“(se“si“vuole“osare)Ž¡‘4|¸##Ž¡‘4|¸#–?¬accetta“pacchetti“ICMPŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“icmp“-j“ACCEPTŽ¡‘4|¸#–?¬accetta“pacchetti“TCPŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“!“-y“-j“ACCEPTŽ¡¡‘4|¸#–?¬permetti“richieste“DNS“(al“firewall)Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“udp“-s“$DNS1“domain“-d“$ANY“1023:“-j“ACCEPTŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“udp“-s“$DNS2“domain“-d“$ANY“1023:“-j“ACCEPTŽ¡‘4|¸#–?¬o“(IDEA“MIGLIORE)“esegui“un“server“DNS“caching“sul“router“e“usa“leŽ¡‘4|¸#–?¬seguenti“due“linee“al“loro“posto“...Ž¡‘4|¸#–?¬/sbin/ipchains“-A“input“-p“udp“-s“$DNS1“domain“-d“$ANY“domain“-j“ACCEPTŽ¡‘4|¸#–?¬/sbin/ipchains“-A“input“-p“udp“-s“$DNS2“domain“-d“$ANY“domain“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“dalla“seguente“linea“per“accettare“richieste“sshŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“22“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“dalla“seguente“linea“per“accettare“richieste“telnet“(PESSIMA“IDEA!!)Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“telnet“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“dalla“seguente“linea“per“permettere“NTP“(network“time“protocol)“verso“il“routerŽ¡‘4|¸#–?¬/sbin/ipchains“-A“input“-p“udp“-d“$ANY“ntp“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“dalla“seguente“linea“per“permettere“SMTP“(non“per“i“client“mail“-“solo“server)Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“smtp“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“per“permettere“POP3“(per“client“mail)Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“110“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“dalla“seguente“linea“per“inviare“mail“o“effettuare“ftpŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“auth“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“alla“seguente“linea“per“permettere“HTTP“(solo“se“si“sta“eseguendo“un“web“server“sul“router)Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“http“-j“ACCEPTŽ¡¡‘4|¸#–?¬rimuovi“il“commento“alla“seguente“linea“per“accettare“richieste“FTPŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-p“tcp“-d“$ANY“ftp“-j“ACCEPTŽ¡¡‘4|¸##Ž¡‘4|¸##‘?¬MasqueradingŽ¡‘4|¸##Ž¡‘4|¸#–?¬maschera“i“pacchetti“provenienti“dalla“rete“localeŽ¡‘4|¸/sbin/ipchains–?¬-A“forward“-s“$PRIVATENET“-d“$ANY“-j“MASQŽ¡ŽŽŒ‹'êH Û_2 ý ~?Ÿ„€ÕÁGŽÁ15.‘ñ8APPENDICE–ÕA“-“Script“di“esempio’þ—C¹39ŽŽ ÕÁ ýV¯‘4|¸º##Ž¤ ®‘4|¸##–?¬scarta“QUALSIASI“altra“cosa“e“registrala“in“/var/log/messagesŽ¡‘4|¸##Ž¡‘4|¸/sbin/ipchains–?¬-A“input“-l“-j“DENYŽ¡¡‘4|¸#–?¬Rimuovi“il“bloccoŽ¡‘4|¸/sbin/ipchains–?¬-D“input“1Ž¡¡‘4|¸;;Ž¡¡‘þ°stop)Ž¡‘4|¸action–?¬"Stoping“firewall:“"“/bin/trueŽ¡‘4|¸echo–?¬0“>“/proc/sys/net/ipv4/ip_forwardŽ¡‘4|¸/sbin/ipchains–?¬-F“inputŽ¡‘4|¸/sbin/ipchains–?¬-F“outputŽ¡‘4|¸/sbin/ipchains–?¬-F“forwardŽ¡¡‘4|¸echoŽ¡‘4|¸;;Ž¡¡‘þ°restart)Ž¡‘4|¸action–?¬"Restarting“firewall:“"“/bin/trueŽ¡‘4|¸$0‘?¬stopŽ¡‘4|¸$0‘?¬startŽ¡¡‘4|¸echoŽ¡‘4|¸;;Ž¡¡‘þ°status)Ž¡‘4|¸#–?¬Elenca“le“impostazioniŽ¡‘4|¸/sbin/ipchains‘?¬-LŽ¡‘4|¸;;Ž¡¡‘þ°test)Ž¡‘4|¸##Ž¡‘4|¸##‘>\E'–?¬alquanto“sempliceŽ¡‘4|¸##‘þ°(Non–?¬€è“AFFATTO“sicuro)Ž¡‘4|¸action–?¬"WARNING“Test“Firewall:“"“/bin/trueŽ¡‘4|¸/sbin/ipchains–?¬-F“inputŽ¡‘4|¸/sbin/ipchains–?¬-F“outputŽ¡‘4|¸/sbin/ipchains–?¬-F“forwardŽ¡‘4|¸echo–?¬1“>“/proc/sys/net/ipv4/ip_forwardŽ¡‘4|¸/sbin/ipchains–?¬-A“input“-j“ACCEPTŽ¡‘4|¸/sbin/ipchains–?¬-A“output“-j“ACCEPTŽ¡‘4|¸/sbin/ipchains–?¬-P“forward“DENYŽ¡‘4|¸/sbin/ipchains–?¬-A“forward“-i“$PUBLIC“-j“MASQŽ¡¡‘4|¸echoŽ¡‘4|¸;;Ž¡ŽŽŒ‹(ôg Û_2 ý ~?Ÿ„€ÕÁGŽÁ16.‘ñ8APPENDICE–ÕB“-“Script“R®>C“VPN“pQÂer“la“RedHat’º/s¹40ŽŽ ÕÁ ýV¯‘þ°º*)Ž¤ ®‘4|¸echo–?¬"Usage:“$0“{start|stop|restart|status|test}"Ž¡‘4|¸exit‘?¬1Ž¡¡‘ XesacŽ¡¡¡esacŽŸ(ÀœÀ16Ž‘¬%APPENDICE–G\B“-“Script“RcC“VPN“ppœer“la“RedHatŽŸ¿:¡‘ Xº#!/bin/shŽ¡‘ X#Ž¡‘ X#–?¬vpnd‘>üQuesto“script“basato“sulla“shell“provveder€à“ad“avviare“eŽ¡‘ X#‘Y:la–?¬chiudere“vpnd“(Virtual“Privage“Network“connections).Ž¡‘ X#Ž¡‘ X#–?¬chkconfig:“-“96“96Ž¡‘ X#–?¬description:“vpndŽ¡‘ X#Ž¡¡‘ X#–?¬Libreria“funzioni.Ž¡‘ X.‘?¬/etc/rc.d/init.d/functionsŽ¡¡‘ X#–?¬Configurazione“rete.Ž¡‘ X.‘?¬/etc/sysconfig/networkŽ¡¡‘ X#–?¬Controlla“che“la“rete“sia“presente.Ž¡‘ X[–?¬${NETWORKING}“=“"no"“]“&&“exit“0Ž¡¡‘ X[–?¬-f“/usr/sbin/vpnd“]“||“exit“0Ž¡¡‘ X[–?¬-f“/etc/vpnd.conf“]“||“exit“0Ž¡¡‘ XRETVAL=0Ž¡¡‘ X#–?¬Vediamo“cosa“€è“stato“richiesto.Ž¡‘ Xcase–?¬"$1"“inŽ¡‘þ°start)Ž¡‘4|¸#–?¬Avvia“i“daemon.Ž¡‘4|¸echo–?¬-n“"Starting“vpnd:“"Ž¡‘4|¸daemon‘?¬vpndŽ¡‘4|¸RETVAL=$?Ž¡‘4|¸[–?¬$RETVAL“-eq“0“]“&&“touch“/var/lock/subsys/vpndŽ¡‘4|¸echoŽ¡‘4|¸;;Ž¡‘þ°stop)Ž¡‘4|¸#–?¬Ferma“i“daemon.Ž¡‘4|¸echo–?¬-n“"Shutting“down“vpnd:“"ŽŽŽŒ‹)ùt Û_2 ý ~?Ÿ„€ÕÁGŽÁ17.‘ñ8Nota–Õsulla“traduzione’Gyѹ41ŽŽ ÕÁ ýV¯‘4|¸ºkillproc‘?¬vpndŽ¤ ®‘4|¸RETVAL=$?Ž¡‘4|¸[–?¬$RETVAL“-eq“0“]“&&“rm“-f“/var/lock/subsys/vpndŽ¡‘4|¸echoŽ¡‘4|¸;;Ž¡‘þ°restart)Ž¡‘4|¸$0‘?¬stopŽ¡‘4|¸$0‘?¬startŽ¡‘4|¸;;Ž¡‘þ°*)Ž¡‘4|¸echo–?¬"Usage:“vpnd“{start|stop|restart}"Ž¡‘4|¸exit‘?¬1Ž¡‘ XesacŽ¡¡‘ Xexit‘?¬$RETVALŽŸ(ÀœÀ17Ž‘¬%Nota–G\sulla“traduzioneŽŸ¿:¹La–lÜtraduzione“originale“di“questo“HO¸èWTO‘l”€è“opšGera“della“Ap˜ogeo‘Ù¸ºhttp://www.apogeonline.com/“¹,‘²Ëp˜erŽ¡il–®´libro“ÁLin•®>ux›bƒHo“wT‘ÿ ºo˜(La˜bibbia˜di˜Lin“ux)–®´¹realizzato“in“collabšGorazione“con“il“Pluto.‘~=L'Ap˜ogeo“haŽ¡gen•¸ètilmen“te–U concesso“questa“ed“altre“traduzioni“ad“ILDP“pGer“la“sua“diusione“elettronica.Ž©ؼCon•¸èv“ersione–Èin“SGML‘˜e“correzione“a“cura“di“Gio¸èv›ÿqÐanni“Bortolozzo“Äb‘ÿ}/ortopluto.linux.it“¹,‘?²cui“v˜anno“segnalatiŽ¡pure›U ev•¸èen“tuali˜errori,˜incongruenze˜ecc.Ž¦Aggiornamenš¸èto–U alla“v˜ersione“0.80“ad“opGera“di“Marco“Masetti“Ämar–ÿ}/c“omas@lib“er“o.it‘U ¹.ŽŽŽŒøþNƒ’À;èÛ_2ÕÁG)óë ecbi1000ó½HЃ ecti1000ó¥!¢N ecbx1200ó]fŒ ecbx1000ó&Lt$ffffecbx1440óø8‹ ecsi1000óŒ6 ecss1000óþÖëI½q½qecss2074óqLË ectt1000ó 1ê± ecrm1000ó !",š cmsy10ó  b> cmmi10ù˜ßßßßß