# Linux Firewall

## Sasdo

Ciao, vorrei fare usrae un pc come Server per la mia rete locale.

Ovviamente ci vorrei mettere sopra Linux Gentoo...

..sapreste consigliarmi quali pacchetti installare? 

La rete locale è ibrida: pc WinXP e pc Gentoo.

Un'altra cosa: posso utilizzare questo pc Server anche come firewall per virus windows?

Immagino di si ma non so quali programmi mi possano servire.

grazie mille,

----------

## Naspe

Ciao,

Mi hai preceduto!!! Volevo aprire un topic uguale  :Smile: 

Io mi trovo praticamente nella tua stessa condizione: ho una rete con 2 clients WinXP, un Win2k3 server e un portatile con Gentoo. Adesso volevo aggiungere un'altro server linux che facesse queste cose:

1) Firewall

2) NAT

3) Proxy

4) Antivirus

5) Monitor di rete

6) Server HTTP

Almeno per ora deve fare ciò.  :Smile: 

Mi sto documentando su come implementare queste. Per ora so che (x i vari punti qui sopra) si puo usare:

1) IPTables

2) Non lo so (credo sempre IPTables)

3) Squid

4) Bo devo ancora vedere tra i vari prodotti disponibili. Io vorrei che l'antivirus nn controllasse solo le email ma anche tutto il traffico di rete.

5) Anche qui bisogna verdere. Per ora ho provato ad usare il protocollo SNMP assieme a MRTG, ho provato Cacti che fa piu o meno uguale a MRTG e adesso volevo provare NAGIOS che è un monitor di rete tipo Tivoli della IBM.

6) Apache  :Smile: 

Xer ora ho fatto solo un po di prove preliminari... Sto aspettando che mi arrivi l'altra macchina.

Per quanto riguarda il sistema operativo, gentoo va bene per il fatto che installi solo ciò che ti serve. 

Il problema di gentoo è il tempo che ci metti a tirare su il tutto e a mantenerlo aggiornato...

Questo è quello che ho in mente io, se questo dovesse interessarti se ne puo discutere per vedere un po come mettere su tutto in maniera da avere una macchina veloce e stabile.

Intanto ti consiglio sto sito dove ho trovato molte info utili: www.sistemistiindipendenti.org

P.S.: Sarebbe carino riuscire a tirare su tutti questi servizi minimizzando al max la roba installata e soprattutto lo spazio utilizzato su disco. Consigli?

Ciao ciao

----------

## Sasdo

eh, per l'antivirus anche io cercavo qualcosa che controllasse tutto il traffico e non solo la posta (altrimenti ho trovato f-prot)

per tutto il resto non saprei.. anche io avevo trovato qualcosa su iptables et similia...

grazie del sito ora ci guardo.

ciao!

----------

## Naspe

Ops mi sono scrodato che deve fare anche da IDS  :Smile: 

----------

## shev

 *Naspe wrote:*   

> Ops mi sono scrodato che deve fare anche da IDS 

 

Guarda che mettere troppa roba su una macchina che deve fare anche da firewall è non solo sconsigliato ma anche dannoso (per la sicurezza). Consiglio la lettura di qualche buon libro o saggio sulla sicurezza informatica per farsi un'idea dell'abc di tale materia (che non è solo una questione tecnica ma anche e soprattutto mentale...)

Cmq avete dato un'occhiata alla Gentoo Security Guide? Qualche spunto può darvelo. Ovviamente la letteratura sull'argomento si spreca, esistono decine di howto, articoli e libri a riguardo, chiedere a google per credere  :Wink: 

Infine, per tornare OT, non so come possiamo consigliare al nostro amico quali servizi o pacchetti mettere su un server: dipende da che servizi ti servono o vuoi rendere disponibili. Non esiste uno standard. Dicci che cosa ti aspetti debba fare il server e potremo esserti utili.

----------

## Sasdo

 *Quote:*   

> nfine, per tornare OT, non so come possiamo consigliare al nostro amico quali servizi o pacchetti mettere su un server: dipende da che servizi ti servono o vuoi rendere disponibili. Non esiste uno standard. Dicci che cosa ti aspetti debba fare il server e potremo esserti utili.

 

oops! non sapevo di essere OT... pardon...

il pc in questione dovrebbe avere le seguenti  caratteristiche...

- connessione adsl condivisa

- controllo del traffico di rete entrante in modo da poter difendere la rete da virus sia per ambienti windows che linux.

nulla di più.

Ancora grazie, 

il Sasdo

----------

## Sparker

Per il NAT si può fare con iptables.

Come antivirus c'è anche clamav (ma non credo controlli il traffico)

Mi piacerebbe usare un IDS attivo (cioè che blocchi eventuali attaccanti). Ne esiste qualcuno in  portage?

----------

## FonderiaDigitale

 *Naspe wrote:*   

> 
> 
> 1) Firewall
> 
> 2) NAT
> ...

 

1. 2. e 3. li puoi fare su un pentium2 o un celeron con 64/128mb di ram con iptables, shorewall (che e' un wrapper per iptables che rende MOLTO piu semplice la configurazione).

4. 5. 6. su una _ALTRA_ macchina, (antivirus per email?) con clamav (o fprot)  chiamato da un proxy smtp o altro (ad es. dante).

Server http, direi il solito apache, poi ci installi snmp per il monitoraggio, e cacti come monitor di rete.

----------

## b10m

 *Sparker wrote:*   

> 
> 
> Mi piacerebbe usare un IDS attivo (cioè che blocchi eventuali attaccanti). Ne esiste qualcuno in  portage?

 

Se non sbaglio si puo' attivare snort in modo che lavori in modalita' in-line (cerca su google), ma stai attento: gli ids inline possono avere comportamenti che non ti aspetti sul traffico

----------

## b10m

Per quanto riguarda il NAT cerca su google "iptables masquerade" o piu' semplicemente clicca qui http://a2.swlibero.org/a2155.html#almltitle1799  :Smile: 

Ps: se volete un'infarinuatura sulla terminologia riguardante al networking date un occhio a http://www.apogeonline.com/openpress/libri/618/index.html http://a2.swlibero.org/a2149.html#almltitle1725

----------

## Sparker

[quote="b10m"] *Sparker wrote:*   

> 
> 
> Se non sbaglio si puo' attivare snort in modo che lavori in modalita' in-line (cerca su google), ma stai attento: gli ids inline possono avere comportamenti che non ti aspetti sul traffico

 

Non sbagli, ma serve una patch.

----------

## doom.it

 *Sasdo wrote:*   

> 
> 
> il pc in questione dovrebbe avere le seguenti  caratteristiche...
> 
> - connessione adsl condivisa
> ...

 

Rispondo a te, anzitutto mi pare che tu abbia un po di confuzione in mente  :Wink: 

anche quando hai detto

 *Quote:*   

> 
> 
> Un'altra cosa: posso utilizzare questo pc Server anche come firewall per virus windows? 

 

Allora in brevissimo, quello che ti serve in modo molto fondamentale, ma che credo si adatti alle tue esigenze.

con rp-pppoe connetti il tuo server all'adsl, quindi ti compare l'interfaccia ppp0 che è quella verso internet, mentre verso la rete interna avrai eth0.

Per condividere la connessione devi usare NAT / Masqurading, in buona sostanza questo lo permetti compilando la voce rispettiva che scegli nel kernel (sezione di IPTables [packet filtering]).  Dopodichè ricordati di abilitare IPv4 FORWARDING (lo puoi settare direttamente da /etc/conf.d/iptables )

Una volta permessa la comunicazione rete interna / rete esterna, devi sistemare le regole di filtraggio IP (altrimenti detto firewall [anche senon è la definizione piu completa/corretta, ma lasciam stare]). In buona sostanza devi definire regole di accesso dall'esterno e verso l'esterno. In linea di massima fai in modo che siano droppate tutte le connessioni rivolte a porte che non vuoi aprire, e che possano uscire solo connessioni verso certi host / porte / quel che ti pare.... insomma spero che tu abbia una minima idea del tipo di regole che vuoi impostare... 

Impostare iptables può non essere molto amichevole, come GUI seria, completa ma facile io uso il rispettivo modulo di webmin (altre gui mi han sempre deluso)... dopo aver impostato le regole, se tutto funziona come vorresti, dai un /etc/init.d/iptables save così memorizzi le regole appena impostate.

Antivirus (che non ha proprio niente a che vedere col firewall)... anzitutto l'affermazione virus per linux è un po' strana... che io sappia ne è esistito solo uno (che poi era tipo un exploit...cmq non so bene come fosse fatto), in ogni caso confermo clamav, come suggeriva qualcuno prima, che però credo non sia in grado di filtrare tutto il traffico in tempo reale, ma si integra molto bene con postfix / qmail /credo_altro_ma_non_conosco.

A proposito, nella tua situazione (Cosi come mi pare di capirla) forse poterbbe servirti anche un piccolo mailserver o un MTA? Potrebbe essere comodo (magari integrare anche spamassassin...)

ciao

DooM (che spera di non aver detto TROPPE baggianate)

----------

## Sasdo

mille grazie, mi salvo il post e tenterò di cavarci qualcosa =)

ciao!

il Sasdo

----------

## shev

 *Sasdo wrote:*   

> 
> 
> oops! non sapevo di essere OT... pardon...

 

No no, sei assolutamente IT, ho sbagliato io a scrivere  :Very Happy: 

Intendevo "tornare IT" poichè Naspe si era inserito nel tuo topic e avevo risposta inizialmente a lui (andando quindi parzialmente OT), tutto qui  :Wink: 

----------

## Naspe

Non ho capito dove è che mi sono infilato Shev...

Non mi pare di esere stato semi OT, lui ha detto che voleva fare delle cose, io ho detto che mi parevano simili a quello che volevo fare io, ho descritto quello che volevo fare e come e ho detto che se la sua idea era in linea con la mia se ne poteva discutere...

... Non ho mica capito...

----------

## doom.it

Naspe, non c'è bisogno di fare flame. Se una cosa è OT non è un commento negativo nè un rimprovero, è una costatazione, che non da nessuna accezione e non insulta/ferisce nessuno  :Wink: 

Detto questo Shev ha detto di essere andato LUI parzialmente OT, ma ripeto questo non importa molto.

Quello che importa è mantenere i topic leggibili evitando commenti come questi (che sono OT  :Wink:  )

Take it easy man  :Smile: 

----------

## codadilupo

sul sito di webbit, nella sezione 2003, ci sono un bel po' di talk interessanti a riguardo, scaricabili in vari formati (cartaceo o audio): non sono propriamente delle guide, ma delle belle chiacchierate su cosa é meglio o peggio fare quando si vuole ottenere un risultato (firewall, nello specifico) si'.

Coda

----------

## Naspe

Magari sono un po OT adesso xchè mi infilo nella richiesta di Sasdo ma nn mi sembrava il caso di aprire un altro topic.

Allora ho installato iptables e squid.

Il mio iptables fa anche SNAT.

Squid lo ho avviato con le impostazioni di default.

La cosa per cui mi serve Squid è:

Abilitare solo alcuni utenti ad andare su internet ma soprattutto che tutto quello che viene visualizzato, passi prima sull'hd in modo da poterlo scannare con un antivirus.

Come devo impostare Squid per ste funzioni? Non mi serve tutta la config eh  :Smile:  bastano due linee guida su come ragionare xchè faccia ciò  :Smile: 

Ciao ciao

P.S.: Il manuale di Squid lo ho (lo Squid Boock in italiano) ma è bello come reference guide, non come starting guide...

----------

## cerri

Naspe: http://www.gurutech.it/index.php?sel=squid-icap

----------

## Naspe

Grazie mille x il link! Utilissimo.

Una domanda: ho notato che squid va un po patchato x funzionare con gli antivirus... La versione che abbiamo nel portage è patchata? Come faccio a vedere come è?

----------

## cerri

Non credo che lo sia, sinceramente, ma se controlli l'ebuild puoi trovare le patch che vengono applicate.

CMQ l'unica patch interessante che vedo è questa 'squid-2.5.3-gentoo.diff' ma non so cosa faccia.

----------

## Naspe

Cerri scusa nn funzia piu il sito che mi hai passato poco sopra...  :Sad: 

----------

## cerri

http://www.google.it/search?q=cache:6IlWn8EolZkJ:www.gurutech.it/index.php%3Fsel%3Dsquid-icap+antivirus+squid++site:.gurutech.it&hl=it&ie=UTF-8

 :Cool: 

----------

## Naspe

Grazie mille!!!  :Smile: 

Scolta io pèensavo di fare un'ebuild (aiutato da un mio amico  :Smile:  ) con i sorgenti gia patchati di squid... Secondo te dovrei aggiungere anche la patch che c'è nell'ebuild di adesso? Qella che hai visto anche tu prima intendo... Tra l'altro nell'ebuild c'è scritto, riguardo a sta patch, come descrizione qualcosa tipo "se c'è ci vuole..." il che nn aiuta molto a stabilirne l'effettiva utilità...

----------

## creche

http://dansguardian.org/

http://www.pcxperience.org/dgvirus/

Il primo è un ottimo prodotto per il content filtering, il secondo non so, ma se lo provi, fai sapere come funziona.

----------

## gts

Esiste un prodotto commerciale antivirus installabile su server linux e che "becca" i virus win. Si tratta del NOD32 di Eset, distribuito in Italia da Future Time.

http://www.nod32.it/products/unix.htm

----------

## creche

Esistono da anni, io personalmente ho sempre usato uvscan della mcafee sui mailserver, con qmail-scanner o amavis.

Il problema grosso è avere definizioni aggiornate, quindi meglio affidarsi a prodotti conosciuti.

ClamAV è interessante IMHO, sia perché sto leggendo su varie riviste che il database delle definizioni è quasi all'altezza degli antivirus commerciali, sia perché fornisce le API per interfacciare direttamente l'antivirus senza bisogno di un pipe o di un wrapper. Questo punto credo sia particolarmente interessante, visto che il problema su servers di posta con antivirus sta soprattutto nel carico e nella velocita'.

----------

## Naspe

Il mio problema è che c'è pieno di belle cose per scannare server di posta... Solo che io nn ho un server di posta... io vorrei scannare il traffico in entrata del mio proxy, o perlomeno ciò che scarico... le sto provando tutte ma nn me ne funziona una  :Sad: 

----------

## creche

per quanto riguarda il web, dansguard è una ottima scelta, per quanto riguarda la posta potresti usare fetchmail, smistarla e filtrarla col tuo server locale e quindi riscaricarla dal tuo pop3.

----------

## Naspe

Dansguard x funziare necessita di una patch. Ho provato a downloadare i sorgenti con emerge -f e a patcharli ma nn ci riesco  :Sad: 

----------

