[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [indice analitico] [volume] [parte]


Capitolo 367.   Simulazione di un firewall per esercizio

Si dispone di una rete locale in cui si possono configurare gli elaboratori per simulare la protezione da parte di un firewall. Per ottenere questo, il firewall dispone di una sola interfaccia di rete, a cui si abbinano due indirizzi IPv4 distinti:

router e firewall didattico

I nodi a sinistra del firewall sono configurati per utilizzare indirizzi appartenenti alla rete 192.168.7.*, mentre i nodi alla destra, compreso il router che immette all'esterno, utilizzano indirizzi appartenenti alla rete 172.17.*.*. Il router che consente di comunicare con l'esterno ha l'indirizzo 172.17.1.254. Ecco la configurazione del router-firewall didattico, a partire dalla configurazione delle interfacce e dell'instradamento predefinito verso l'esterno:

ifconfig eth0 down[Invio]

ifconfig eth0:0 down[Invio]

route del -net default gw 172.17.1.254[Invio]

ifconfig eth0 172.17.1.253 netmask 255.255.0.0[Invio]

ifconfig eth0:0 192.168.1.254 netmask 255.255.255.0[Invio]

route add -net default gw 172.17.1.254[Invio]

Si abilita espressamente la funzionalità di router:

echo 1 > /proc/sys/net/ipv4/ip_forward[Invio]

Si abilita la sostituzione degli indirizzi della rete 192.168.7.* quando le comunicazioni escono da quella rete:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE[Invio]

Si inizializzano i filtri e si definiscono le politiche predefinite:

iptables -t filter -F[Invio]

iptables -t filter -P FORWARD DROP[Invio]

iptables -t filter -P INPUT DROP[Invio]

iptables -t filter -P OUTPUT ACCEPT[Invio]

Si accetta tutto il traffico in ingresso e in attraversamento proveniente dalla rete «locale» (192.168.7.*) e si accetta anche il traffico in ingresso proveniente dall'interfaccia virtuale locale:

iptables -t filter -A INPUT -s 192.168.1.0/24 -j ACCEPT[Invio]

iptables -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT[Invio]

iptables -t filter -A INPUT -s 127.0.0.1 \
  \         -j ACCEPT
[Invio]

Si accetta il traffico in ingresso e in attraversamento che riguarda comunicazioni già iniziate in qualche modo:

iptables -t filter -A INPUT -m state \
  \         --state ESTABLISHED -j ACCEPT
[Invio]

iptables -t filter -A FORWARD -m state \
  \         --state ESTABLISHED -j ACCEPT
[Invio]

Al termine la rete 192.168.7.* e il firewall stesso risultano protetti dall'esterno (la rete 172.17.*.* e il resto del mondo), inoltre le comunicazioni che hanno origine dalla rete 192.168.7.* e sono dirette all'esterno, sono modificate attraverso il meccanismo del NAT e ciò lo si può verificare agevolmente con un programma come IPTraf.

Appunti di informatica libera 2007.02 --- Copyright © 2000-2007 Daniele Giacomini -- <daniele (ad) swlibero·org>


Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome simulazione_di_un_firewall_per_esercizio.htm

[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [indice analitico]

Valid ISO-HTML!

CSS validator!