Repository 32bit  Forum
Repository 64bit  Wiki

Introduzione a Firestarter: differenze tra le versioni

Da Slacky.eu.
(Requisiti del kernel)
(Installazione)
 
(7 revisioni intermedie di un utente non mostrate)
Riga 62: Riga 62:
Con l'opzione impostata, firestarter installerà i file di configurazione in '''/etc/firestarter'''. Di default, firestarter sarà installato nella directory '''/usr/local'''
Con l'opzione impostata, firestarter installerà i file di configurazione in '''/etc/firestarter'''. Di default, firestarter sarà installato nella directory '''/usr/local'''
Se la fase di compilazione viene completata senza problemi potete compilare ed installare il program,ma:
+
Se la fase di compilazione viene completata senza problemi potete compilare ed installare il programma:
[bash]$ make
[bash]$ make
[bash]$ su
[bash]$ su
Riga 148: Riga 148:
== Lanciare il firewall all'avvio ==
== Lanciare il firewall all'avvio ==
Aggiungere la riga "'''/usr/bin/firestarter -s". che rappresenta lo script di attivazione del firewall.
Aggiungere la riga "'''/usr/bin/firestarter -s". che rappresenta lo script di attivazione del firewall.
Sulle distribuzioni SysV-based (come slackware) questo script è il file "'''/etc/rc.d/rc.local'''".
+
Sulle distribuzioni BSD-based (come slackware) questo script è il file "'''/etc/rc.d/rc.local'''".
== Dial-Up ==
== Dial-Up ==
Riga 308: Riga 308:
= APPENDICE B =
= APPENDICE B =
== Requisiti del kernel ==
== Requisiti del kernel ==
  +
Firestarter richiede che alcuni moduli del kernel siano presenti per poter funzionare a dovere. [le maggiori distribuzioni
  +
nei loro kernel, hanno già attivato quello che firestsrter richiede]. In ogni caso, se si sta ricompilando
  +
un kernel personalizzato. la sezione seguente dovrebbe essere utile.
== Configurazione del kernel ==
== Configurazione del kernel ==
  +
Queste istruzioni sono stste scritte per funzionare con un kernel 2.6.x firestarter funziona anche con un kernel
  +
2.4.x, nel qual caso la configurazione di base è la stessa, ma le opzioni del kernel sono mostrate in maniera
  +
leggermente diversa nel menu di configurazione. si assume che l'utente già sappia come compilare un kernel, in caso
  +
contrario, leggere il "Kernel Build HOWTO" ufficiale o i numerosi HOWTO presenti in rete
  +
(si consigliano vivamente quelli presenti su slacky.it).
  +
tutte le opzioni del kernel che concernono firestarter si trovano nel menu
  +
Device Driver >> Networking Support
  +
Per prima cosa, l'opzione "'''l'opzione Networking support'''" deve essere abilitata. Poi, nel sottomenu
  +
Networking options >> Network Packet filtering
  +
l'opzione "'''Network Packet filtering'''" deve essere abilitata. Infine, il sotto menu "IP:Netfilter configuration"
  +
presenterà una lunga lista di moduli,l'esatto contenuto della quale dipende dalla specifica versione del kernel in uso.
  +
Qui si potrà scegliere se compilare queste funzioni come moduli oppure staticamente nel kernel. E' però
  +
raccomandato compilare tutte le funzioni in maniera modulare. sempre che non si voglia fare un kernel totalmente
  +
monolitico. Compilando in maniera modulare.quando non si sta usando una particolare funzione non si occuperà memoria.
  +
NOTA: Le versioni di firestarter precedenti alla 0.9.4 mostrano i messaggi di errore su console se si compilano
  +
le funzioni richieste, firestarter funzionerà bene in ogni caso. non sono richieste tutte le funzioni di Netfilter.
  +
comunque consigliamo di abilitarle tutte come moduli per consentire alle prossime versioni di firestarter di poterole
  +
usare se necessario. Per ultimissima cosa, le funzioni "'''conectio tracking'''", "'''Full NAT'''" e "'''LOG target support'''"
  +
devono essere presenti. Qualche altra funzione,se rilevata essere presente in fase di esecuzione, abiliterà funzionalità
  +
addizionali in Firestarter. Le uniche funzioni che raccomandiamo di non includere sono le vecchie "'''ipchains support'''"
  +
e "'''ipfwadm'''" support.
  +
== Locazione delle funzioni del kernel ==
== Locazione delle funzioni del kernel ==
  +
Locazione delle funzioni del kernel
  +
  +
- Device driver
  +
- Networking support
  +
- [Y] Networking support
  +
- Networking options
  +
- Network packet filtering
  +
- [Y] Network packet filtering
  +
- IP: Netfilter configuration (*)
  +
-[Y/M] Connection tracking
  +
-[Y/M] IP tables support
  +
-[Y/M] Connection state match support
  +
-[Y/M] Connection tracking match support
  +
-[Y/M] Packet filtering
  +
-[Y/M] Full NAT
  +
-[Y/M] LOG support
  +
  +
(*) Raccomandiamo di abilitare tutto come modulo in questo menu, eccetto "'''ipchain support'''" e "'''ipfwadm support'''".
  +
  +
= APPENDICE C =
  +
elenco delle porte generalmente utili per un utente medio.
  +
  +
* in ingresso:
  +
6667 - 6668 - 6669 -6670 TCP per IRC
  +
4662 TCP - UDP Edonkey - aMule
  +
  +
* in uscita:
  +
6667 - 6668 - 6669 -6670 TCP per IRC
  +
80 - 21 - 25 -110 - 443 HHTP,FTP,SMTP,POP,HTTPS
  +
4662 TCP -UDP Edonkey - aMule
  +
  +
Molte altre porte io le ho configurate manualmente: sono cioè diverse dagli standard ed è inutile dirvele :(
  +
= Ringraziamenti =
= Ringraziamenti =
  +
* Tutto lo staff di slacky.it
  +
* ROB x avermi aiutato a tradurre ^_^
  +
* A chi creato questo splendido Frontend
  +
= Note finali =
= Note finali =
  +
Questo documento era partito per essere la traduzione non ufficiale del manuale (ufficiale) di firestarter.
  +
disponibile presso http://firestarter.sourceforge.net/manual/index.php
  +
quando mi sono accorto che in realtà il manuale non è aggiornato, ho abbandonato e sono passato ad una spiegazione molto
  +
più pratica, derivata dalla mia personale esperienza. Spero di non aver fatto torto a nessuno, tutti i diritti sono
  +
dei rispettivi proprietari e non era assolutamente mia intenzione violare diritti/proprietà appartenenti ad altri.
  +
questa guida non ha come obbietivo la perfezione (è impossibile) ma credo costituisca un'ottima base di partenza,
  +
per sviluppare poi un sistema completamente personalizzato e adatto a difendere l'utente medio da attachi
  +
e intrusioni estranee. La traduzione non è perfetta (scusatemi :/ ma non sono davvero nato per scrivere/parlare/tradurre l'inglese :/)
  +
Ma credo di aver dato una buona interpretazione delle parole contenute nel sito ufficiale.
  +
Mi raccomando prendete sempre per vere le informazioni o le istruzioni presenti in quel sito:
  +
http://firestarter.sourceforge.net/manual/index.php
  +
Per suggerimenti, critiche o ringraziamenti, il mio indirizzo email è jjdanimoth@gmail.com
  +
Se avete problemi complessi,postaeli sul forum,non tempestate la mia casella ^_^
  +
Naturalmente sono a vostra disposizione se non avete capito alcuni passaggi della mia guida.
  +
Ho personalmente eseguito tutti i passaggi ( e devo dire che funziona tutto alla perfezione) su una macchina con
  +
installata la Slackware 10.1 aggiornata alla current, senza particolari pacchetti/librerie installate.
  +
  +
versione: 0.23 - Creato da jjDaNiMoth

Versione attuale delle 16:19, 24 nov 2006

Indice

[modifica] Introduzione

Firestater è un frontend grafico basato su GTK+/gnome ai vari sottoinsiemi per il firewalling disponibili nel kernel di Linux, per esempio Netfilter. E' nato per fornire un funzionale pratico ma tuttavia semplice approccio per le tecnologie di firewalling avanzzate. Questo documento descrive le versioni 1.0 e successivamente di firestarter. Dovrebbeessere considerato come "work in progress".

[modifica] Firewalls in una nutshell

I firewall sono perlopiù usati nei PC che fungono da gateway per le connessioni ad internet. Uno dei requisiti fondamentali del firewall deve essere quella di protegere da una serie di attacchi i calcolatori. Firestarter può essere installato su una macchina diversa dal gateway per fornire le funzioni di firewalling anche solo per un segmento di LAN, o può essere installato su singole stazioni di lavoro Linux. La sicurezza è un processo non un prodotto. Un firewall non garantisce la sicurezza ma è nella maggior parte degli ambienti la prima linea di difesa contro i crackers.

[modifica] Caratteristiche di Firestarter

Facile da usare, tuttavia potente.

  • interfaccia grafica facile da usare e ottimizzata per GNOME 2
  • wizard ed assistenti per essere utile sia ai principianti che agli esperti
  • Temi e regolazioni globali per GNOME
  • Traduzione disponibili per molte lingue (25 lingue a partire da luglio del 2002)

[modifica] Concetti Avanzzati del Firewalling

  • Ha preimpostate delle regole interne, ma accetta anche quelle prestabilite dall'utente
  • Filtrazione incorporata delle backdoors conosciute e dei Trojan
  • Contributo alla configurazione dei servizi
  • Sostegno per la sintonizzazione dei parametri dell'ICMP per arrestare gli attachi di interruzione del servizio (DOS)
  • Sostegno per la sintonizzazione dei parametri del TOS per migliorare i servizi per i calcolatori collegati in rete
  • Sostegno per le funzioni di NAT e port fowarding

Caratteristiche di sintonia del Kernel Avanzzate

  • Sostiene "Sysctl" dei glibc per la protezione del firewall contro il flooding, broadcasting e spoofing
  • Kernel supportati: 2.4.x e 2.6.x

E molto più

[modifica] Installazione

Installazione dei pacchetti precompilati Firestarter è convenientemente disponibile in un pacchetto precompilato per le distribuzioni di Linux basate su precompilato come Red Hat, Mandriva e Slackware. Una volta che avete trasferito il pacchetto di firestater dal server, aprite un termila e andate nella directory dove avete scaricato il precompilato. Scivete i seguenti comandi per installare il pacchetto:

[bash]$ su 
Password [vostra password di root seguita dalla pressine del tasto "invio"]
[bash]# rpm -Uvh firestarter*.rpm

Eccetto tutte le dipendenze insolute o altri problemi, firestarter dovrebbe ora essere installato.

Installando dai .DEB Firestarter è stao creato in Debiam e può essere trasferito ed installato per mezzo di apt-get semplicemente scrivendo

apt-get install firestarter

Installando in Gentoo Firestarter è completamente sostenuto nella distribuzione Gentoo dal sistema portage, per installare il programma, eseguite:

emerge firestarter

compilando ed installando dal sorgente Scompattare il tarball ed entrare nella directory appena creata:

[bash]$ tar -xvzf firestarter-versione.tar.gz
[bash]$ cd firestarter
eseguite lo script configure", digittando ./configure --help verrano mostrate tutte le opzioni disponibili.
[bash]$ ./configure --sysconfdir=/etc


Con l'opzione impostata, firestarter installerà i file di configurazione in /etc/firestarter. Di default, firestarter sarà installato nella directory /usr/local Se la fase di compilazione viene completata senza problemi potete compilare ed installare il programma:

[bash]$ make
[bash]$ su
Password [vostra password di root seguita dalla pressine del tasto "invio"]
[bash]# make install

Il passaggio make instaòll è opzionale, potete tranquillamente eseguire firestarter dalla directory src. se volete usufruire degli stessi privilegi che potete avere installando dai pacchetti, ma avete compiltato a mano, eseuite ./postinstall. E' uno script che aggiunge firestarter ai processi caricati all'avvio.

Installare in Slackware Io personalmente, consiglio di usare swaret come tool d'intallazione. E' molto semplice da usare e da configurare, ed inoltre risolve in modo automatico eventuali dipendenze. Se avete settato come repository slacky.it (vi rimando al sito per maggiori informazioni e dettagli per come fare http://www.slacky.it). dopo un

# swaret --update

Possiamo installare firestarter con questo comando:

# swaret --install firestarter

[modifica] Iniziare

Se avete installato firestarter da un pacchetto binario come il DEB o il TGZ, ci sarà un icona del programma di firestarter nel menu di applicazioni di GNOME, sotto il menu internet. se non avate questa icona, eseguite firestarter da un terminale o dal menu di funzionamento di GNOME (ALT-F2).

1. Dare la password di root quando fate partire firestarter, il sistema può chiedervi la parola d'accesso per l'utente root. se non riuscite ad inserire la password di root (o non la conoscete) bisognerà far partire firestarter direttamente dal terminale di root. ciò si fa solitamente con su -. usate "man" per maggiori informazioni. Per una maggiore versatilità, in KDE possiamo cliccare sull'icona "K" e inserire come comando, "kdesu firestarter" per evitare di occupare una shell.

2. Finestra di configurazione automatica La prima volta che avviate firestarter dovreste trovarvi davanti alla finestra di configurazione automatica. Premi il tasto foward per continuare.

3. Configurazione dell'interfaccia di rete collegata all'esterno L'interfaccia di rete collegata all'esterno, è quella collegata ad internet. Se non avete le schede di rete multiple, modem o configurazioni VPN, va bene il valore suggerito Gli utenti collegati a voi (LAN, DSL o CAVO) dovrebbero permettere l'opzione di rilevamento del DHCP. ci sono molte altre opzioni nel wizard, che conoscerete quando diventerete più esperti. Per la vostra prima volta tuttavvia potete continuare a semplicemente premere il tasto di andata fino a completare il wizard.

Ora l'interfaccia grafica principale del programma vi sarà mostrata, e sarete liberi di esplorare le funzioni principali del programma ed iniziare a modificare il firewall. O anche sedersi comodo e guardare il firewall fare il suo lavoro :)

Se non avete nessun link nel menu, potete aprire una shell e dare "kdesu firestarter" o loggarvi come root e dare "firestarter".

[modifica] I componenti di firestarter

L'interfaccia grafica principale di firestarter è divisa in sottosezioni denominate linguette. Attualmente tre linguette sono disponibili:

  • La linguetta dove è possibile vedere le hits:

cioè dove i pacchetti di dati che si ottengono vengono arrestati dal firewall sono annotati. Potete realizzare le azioni su una hit, come ad esempio trasformarlo in una regola che interesserà tutti i pacchetti futuri.

  • La linguetta delle regole

è la sezione che modella il firewall, la sala di controllo di tutto il trafico della rete.

Oltre l'interfaccia principale ci sono altre due sezioni di interesse:

Il wizard è la prima cosa che vedete quando avviate per la prima volta firestarter. Permette il cambiamento rapido di un'ampia varietà di tregolazioni che controllano il firewall Le prferenze, che contengono tutte le opzioni necessarie a modificare/personalizzare il firewall. Sia l'interfaccia utente che la parte refrattaria possono essere modificate di qui.

[modifica] Esecuzione del Firewall

Una domanda frequente è: in che stato è il firewall quando non viene lanciato firestarter? La risposta breve è: dipende. se firestarter è stato installato con pacchetti precompilati il firewall rimarrà sempre in esecuzione (tranne per gli utenti dial-up), perfino dopo un reboot. In questi casi il firewall è in esecuzione come un servizio e può essere gestito usando il servizio standard di sistema Linux e i tool di gestione dei runlevel. se firestarter è stato compilato ed installato da sorgente e si sta usando una distribuzione come Red Hat o Mandriva, bisognerebbe eseguire il "postinstall" script, disponibile tra i sorgenti di firestarter, ottenendo gli stessi effetti di un'installazione tramite pacchetti precompilato o DEB. Il firewall rimarrà persistente dopo un reboot e sarà generato uno script di init. Se firestarter è stato compilato da sorgente ma non si usa una distribuzione come Red Hat o Mandriva, il firewall sarà attivo dal suo avvio fino al reboot successivo. Vedere più avanti la sezione riguardante l'avvio manuale di firestarter per aumentare la copertura del firewall. In aggiunta ai componenti descritti sopra, l'uso di un demone DHCP aumenta ulteriormente la copertura.Quando al disposito di rete collegato al sevizio DHCP viene assegnato un indirizzo ip ( sia quando si connette per la prima volta sia quando l'indirizzo viene rinnovato) il firewall viene aggiornato. Da notare che questo succede persino se il firewall è stato precedentemente stoppato da firestarter o dagli script di init. attualmente questo servizio è usufruibile usando DHCPD oppure un programma dhcp-client (forniti dalla maggioranza delle distribuzioni).

[modifica] Gli script di init del sistema

Firestarter è distribuito con uno script nello stile SysV per gestire il firewall. Gli script forniscono le seguenti funzioni:

  • Start: avvia il firewall
  • Stop: ferma il firewall
  • Status: dà un'accurata descrizione dello stato interno del firewall
  • restart: ferma, poi avvia il firewall
  • panic: blocca il firewall

Queste funzioni possono essere invocate aggiungendole come parametri allo script. Ad esempio, è possibile avviare firestarter con "firestarter start". La maggior parte delle distribuzioni, inoltre includono dei tpools come "chkconfig", per gestire gli script di servizio. Questi tools consentono di cambiare la priotà d'avvio e molti parametri dei servizi.

[modifica] Lanciare il firewall all'avvio

Aggiungere la riga "/usr/bin/firestarter -s". che rappresenta lo script di attivazione del firewall. Sulle distribuzioni BSD-based (come slackware) questo script è il file "/etc/rc.d/rc.local".

[modifica] Dial-Up

Il firewall deve essere avviato dopo che è stata stabilita la connessione con il proprio ISP. Nel wizard di firestarter esiste un'opzione per avviare automaticamente il firewall. Quest'opzione non funziona con qualche dialer. Per esempio,se si sta usando l'applicazione dialer Kppp si dovrà settare il dialer per fargli avviare firestarter dopo che la connessione è stata stabilita. Kppp include un'opzione per lanciare gli script solo quando la connessione è stata stabilita.

[modifica] Configurare firestarter

Eccoci alla parte più interessante dell'Howto. Abbiamo già visto come è possibile utilizzare il wizard: ore ci addenteremo nella configurazione più avanzzata. Partiamo subito:

Edit--> Preferences.

Tralascio le configurazioni per l'interfaccia grafica (comandi facilmente intuibili e assolutamente ininfluenti sulla configurazione anti-lamer del firewall.) pasiamo quindi alla sezione "firewall" Io direi di abilitare senza ombra di dubbio "Start/Restart firewall on program startup". così quando avviamo (da root) l'interfaccia grafica, il firewall vero e proprio partirà automaticamente. Le altre 2 le lascio a vostra discrezione: riguardano sempre l'avvio e l'arresto delle regole. Passiamo a

Network Settings 

Le due device (rispettivamente per l aLAN e per internet) dovrebbero già essere settate (ricordate il wizard?) e quindi non ci soffermeremo più di tanto. Importante notare che, se vi servite di un server DHCP, dovete assolutamente settare "enable DHCP for the local network" (vedi APPENDICE A) Ora diamo un'occhiata a

ICMP Filtering

Io consiglio vivamente di attivare il filtro per i pacchetti ICMP. Attenzione però: se non abilitiamo "Echo request" e "Echo reply" non potremo effettuare il "ping". Gli altri servizi sono a vostra discrezione: se vi servono, lasciateli passare mettendo un tick nel quadratino relativo. Se non sapete neanche cosa sono lasciateli stare.

ToS Filtering

Permette invece di ottimizzare la rete privileggiando determinati programmi, in modo tale da ottimizzare la connessione. Io personalmente non l'ho attivato, non ne sento la necessità.

Advanced Options

qui possiamo scegliere come effettuare il "reject" (letteralmente rifuitare i pacchetti): con un Drop silently o con un messaggio. sceglierei senza ombra di dubbio un "Drop silently".

Broadcast traffic

Blocca o permette TUTTO il traffico verso la rete esterna o interna. Li ho disabilitati tutti i due... voglio navigare e fare da gateway. se non avete la necessità di fare da gateway potete mettere il tick accanto a "Block Broadcast from internal network". Dobbiamo abilitare, per forza il "Block traffic from reversed addresses on public interfaces" per abilitare il MASQUERADING (rimando agli howto presenti su slacky.it per il maggiori informazioni du di esso -VEDI APPANDICE A)

[modifica] Abilitare/Disabilitare il traffico

Andiamo nella linguetta "Policy". Editiamo "outbound traffic policy", e abilitiamo "Restrictive by default,whitelist traffic" che in sintesi blocca tutto: saremo noi che andremo ad abilitare, ad uno ad uno, iltraffico che può passare. L'altra opzione ("Permissive by default") è meno difficile da settare, ma è sconsigliata visto che in pratica non effettua nessun nessun controllo (anzi dovremo andare a settare tutto ciò che non è consentito). Ora nel menù policy (in alto) applichiamo le regole con "apply". se tutto è andato bene, non dovremmo essere in grado di fare nulla: non riusciremo a navigare, ne a chattare... ma andiamo nella linguetta "Events" vedete i vostri tentativi loggati? Se per esempio aprite il browser, dovreste vedere una voce con "port" settato ad "80" e protocol "TCP". Ci basta fare click con il pulsante destro del mouse e scegliere "Allow inbound/outbound service": decidendo se abilitarlo solo per la LAN, solo per l'IP sorgente/destinazione o per tutti quanti "Evryone". Con "lookup hostnam" potete vedere il nome dell'host sorgente o destinazione. Con il pulsantino "Clear" potrete cancellare tutta la lista (utile se diventa troppo lunga). Ora applichiamo la regola con "Apply Policy" e torniamo nella linguetta "Policy". Uau! vedete la vostra regola,in basso? e provate ad utilizzare il browser sulla porta 80... funziona!!! Ora proviamo a vedere di editare le "inbound traffic policy", cioè le regole che gesticono chi entra nel nostro PC. L'interfaccia è praticamente la stessa, il funzionamento pure:quando ci servirà abilitare un servizio, basta farlo dalla linguetta "Events" e in seguito abilitarlo. Ricordo che tutto deve essere esplicitamente concesso, altrimenti non funzionarà nulla. e' un pò come avere un router. E se poi vi dilettate nel fileshare (mi raccomando,solo distribuzioni Linux, niente materiale coperto da copyright) bisogna stare l' e ragionarci, perché spesso si "apropriano" di porte stranissime... e in questo caso il mio consiglio spassionato è di aprire solo quelle che sono esplicitamente scritte nelle configurazioni dei vari programmi (VEDI APPENDICE B)

Nella linguetta status invece, possiamo vedere le statistiche relative alla nostra connessione: i MB ricevuti e inviati, la banda utilizzata e i servizi attualmente in uso. Per fermare il firewall, basta cliccare sul pulsante "Stop firewall". Per bloccare TUTTO, basta dare un "Lock Firewall" (mmm... molto panic mode ^_^). Ora,piano piano dovrete andare ad aprire le porte che vi servono... un bel lavoretto,eh? Ma almeno sarete ben protetti ^_^

[modifica] APPENDICE A

[modifica] NAT - Condivisione della connessione a Internet

NAT - Condivisione della connessione a Internet

Network Adress Translator (traduzione degli indirizzi di rete) è una tecnica grazie alla quale svariate macchine possono accedere a internet attraverso una singola connessione condivisa. verso il mondo esterno queste macchine appariranno come una sola macchina con un singolo indirizzo IP. Per fare funzionare il NAT c'è bisogno di due o più interfacce di rete su un computer. In questo esempio assumeremo una configurazione di due computer, ma la procedura è essenzialmente la stessa quando si conette il firewall a un hub di retre che connette svariati computer. Assumiamo inoltre che il dispositivo "esterno" è una scheda di rete, ma andrà ugualmente bene con un modem. Se tutto l'Hardware è configurato bene, abilitare il NAT dovrebbe essere molto facile e ricchiedere solo pochi minuti.

[modifica] Il Setup Fisico

Il computer firewall/gateway connesso a internet avrà due schede di rete e il client ne avrà una. La prima scheda di rete è solitamente configurata tramite DHCP. La seconda seconda scheda di rete nel firewall sarà collegata al client tramite un cavo Ethernet incrociato. Se si ha l'intenzione di frapporre un hub tra firewall e il client, il cavo dovrà invece essere dritto.

[modifica] Configurazione del Gateway

Ci sono molti modi per configuare un'interfaccia di rete, e dipendono dalla distribuzione che si usa. Le maggiori distribuzioni offrono un semplice tool chiamto netconfig, molto comodo e veloce da usare. Questo è il modo in cui configuare le schede di rete:

Il dispositivo esterno (generalmente eth0):

  • abilitare la configurazione dell'IP dinamico
  • tutto qui, non si dovra toccare questa scheda oltre.

Il dispositivo interno (generalmente eth1):

  • disabilitare la configuarzione dell'IP dinamico
  • indirizzo IP: 192.168.0.1
  • Netmask: 255.255.255.0
  • Default gateway (IP): <lasciare vuoto>
  • Nameserver primario: settarlo uguale al nameserver del dispositivo esterno. come sapere

quale sia? se il dispositivo esterno è in funzione, il nameserver apparirà in "/etc/resolv.conf". Qualsiasi cambiamento che fai avrà effetto dopo il reboot o il riavvio dei servizi di rete. Se ci riferiamo alla Slackware, guardate i numerosi howto presenti su slacky.it su come configurare un gateway.

[modifica] Configurazione del client

Si configuri la scheda di rete del client con le seguenti impostazioni:

  • disabilitare la configurazione dell'IP dinamico
  • indirizzo IP: 192.168.0.2
  • Netmask: 255.255.255.0
  • Default gateway:(IP): 192.168.0.1
  • nameserver primario: configuralo come quello usato dal gateway. si possono vedere le

impostazioni corrette dal file /etc/resolv.conf del gateway. Riavvia la rete, procedura finita.

[modifica] Testare la configurazione

I due computer dovrebbero ora essere connessi e la configurazione a livello hardware essere terminata. Per testare che ogni cosa sia a posto, si provi a pingare il gateway dal client e viceversa.

Se qualcosa non funziona il problema risiede nella configurazione hardware. Forse si tratta di dettagli sbagliati del gateway, comunque si controlli nuovamente. a questo punto:

  • il gateway dovrebbe raggiungere internet
  • il client e il gateway si dovrebbero pingare
  • il client non dovrebbe essere in grado di raggiungere internet

(potrebbe anche essere in grado di farlo, ma non è comunque un problema)

[modifica] abilitare NAT in firestarter

Lanciare firestarter sul gateway/firewalkl e iniziare il wizard. Sulla terza pagina del wizard. quella della "internet Connection sharing" ("condivisione connessione internet") selezionare "Enable Network Address Trasnlation" ("Abilitare NAT"). Assicurarsi che la scheda di rete interna sia stata rilevata correttamente (solitamente eth1) e completare il wizard.

Ora dovrebbe essere tutto funzionante. I client dovrebbero essere in grado di raggiungere internet e funzioni avanzzate come il port fowarding saranno possibli con firestarter. Se abbiamo bisogno di condividere la connessione con un PC Windows(R),è consigliato andare nella sezione Howto di slacky.it nella categoria relativa al Networking, l'howto dettagliato di DaNiMoTh.

[modifica] APPENDICE B

[modifica] Requisiti del kernel

Firestarter richiede che alcuni moduli del kernel siano presenti per poter funzionare a dovere. [le maggiori distribuzioni nei loro kernel, hanno già attivato quello che firestsrter richiede]. In ogni caso, se si sta ricompilando un kernel personalizzato. la sezione seguente dovrebbe essere utile.

[modifica] Configurazione del kernel

Queste istruzioni sono stste scritte per funzionare con un kernel 2.6.x firestarter funziona anche con un kernel 2.4.x, nel qual caso la configurazione di base è la stessa, ma le opzioni del kernel sono mostrate in maniera leggermente diversa nel menu di configurazione. si assume che l'utente già sappia come compilare un kernel, in caso contrario, leggere il "Kernel Build HOWTO" ufficiale o i numerosi HOWTO presenti in rete (si consigliano vivamente quelli presenti su slacky.it). tutte le opzioni del kernel che concernono firestarter si trovano nel menu

Device Driver >> Networking Support

Per prima cosa, l'opzione "l'opzione Networking support" deve essere abilitata. Poi, nel sottomenu

Networking options >> Network Packet filtering

l'opzione "Network Packet filtering" deve essere abilitata. Infine, il sotto menu "IP:Netfilter configuration" presenterà una lunga lista di moduli,l'esatto contenuto della quale dipende dalla specifica versione del kernel in uso. Qui si potrà scegliere se compilare queste funzioni come moduli oppure staticamente nel kernel. E' però raccomandato compilare tutte le funzioni in maniera modulare. sempre che non si voglia fare un kernel totalmente monolitico. Compilando in maniera modulare.quando non si sta usando una particolare funzione non si occuperà memoria. NOTA: Le versioni di firestarter precedenti alla 0.9.4 mostrano i messaggi di errore su console se si compilano le funzioni richieste, firestarter funzionerà bene in ogni caso. non sono richieste tutte le funzioni di Netfilter. comunque consigliamo di abilitarle tutte come moduli per consentire alle prossime versioni di firestarter di poterole usare se necessario. Per ultimissima cosa, le funzioni "conectio tracking", "Full NAT" e "LOG target support" devono essere presenti. Qualche altra funzione,se rilevata essere presente in fase di esecuzione, abiliterà funzionalità

addizionali in Firestarter. Le uniche funzioni che raccomandiamo di non includere sono le vecchie "ipchains support"

e "ipfwadm" support.

[modifica] Locazione delle funzioni del kernel

Locazione delle funzioni del kernel

- Device driver

- Networking support
- [Y] Networking support
 - Networking options
 - Network packet filtering
   - [Y] Network packet filtering
   - IP: Netfilter configuration (*)
    -[Y/M] Connection tracking
    -[Y/M] IP tables support
    -[Y/M] Connection state match support
    -[Y/M] Connection tracking match support
    -[Y/M] Packet filtering
    -[Y/M] Full NAT
    -[Y/M] LOG support

(*) Raccomandiamo di abilitare tutto come modulo in questo menu, eccetto "ipchain support" e "ipfwadm support".

[modifica] APPENDICE C

elenco delle porte generalmente utili per un utente medio.

  • in ingresso:
6667 - 6668 - 6669 -6670 TCP		per IRC
4662 TCP - UDP				Edonkey - aMule
  • in uscita:
6667 - 6668 - 6669 -6670 TCP		per IRC
80 - 21 - 25 -110 - 443		HHTP,FTP,SMTP,POP,HTTPS
4662 TCP -UDP				Edonkey - aMule

Molte altre porte io le ho configurate manualmente: sono cioè diverse dagli standard ed è inutile dirvele :(

[modifica] Ringraziamenti

  • Tutto lo staff di slacky.it
  • ROB x avermi aiutato a tradurre ^_^
  • A chi creato questo splendido Frontend

[modifica] Note finali

Questo documento era partito per essere la traduzione non ufficiale del manuale (ufficiale) di firestarter. disponibile presso http://firestarter.sourceforge.net/manual/index.php quando mi sono accorto che in realtà il manuale non è aggiornato, ho abbandonato e sono passato ad una spiegazione molto più pratica, derivata dalla mia personale esperienza. Spero di non aver fatto torto a nessuno, tutti i diritti sono dei rispettivi proprietari e non era assolutamente mia intenzione violare diritti/proprietà appartenenti ad altri. questa guida non ha come obbietivo la perfezione (è impossibile) ma credo costituisca un'ottima base di partenza, per sviluppare poi un sistema completamente personalizzato e adatto a difendere l'utente medio da attachi e intrusioni estranee. La traduzione non è perfetta (scusatemi :/ ma non sono davvero nato per scrivere/parlare/tradurre l'inglese :/) Ma credo di aver dato una buona interpretazione delle parole contenute nel sito ufficiale. Mi raccomando prendete sempre per vere le informazioni o le istruzioni presenti in quel sito:

http://firestarter.sourceforge.net/manual/index.php

Per suggerimenti, critiche o ringraziamenti, il mio indirizzo email è jjdanimoth@gmail.com Se avete problemi complessi,postaeli sul forum,non tempestate la mia casella ^_^ Naturalmente sono a vostra disposizione se non avete capito alcuni passaggi della mia guida. Ho personalmente eseguito tutti i passaggi ( e devo dire che funziona tutto alla perfezione) su una macchina con installata la Slackware 10.1 aggiornata alla current, senza particolari pacchetti/librerie installate.

versione: 0.23 - Creato da jjDaNiMoth

Strumenti personali
Namespace

Varianti