Translation(s): Deutsch - English - Italiano
Un firewall è un sistema progettato per prevenire accessi non autorizzati da o verso una rete privata. I firewall possono essere implementati sia come hardware sia come software, o come una combinazione dei due. I firewall sono spesso usati per impedire ad utenti Internet non autorizzati di accedere a reti private connesse ad Internet, specialmente intranet. Tutti i messaggi in entrata o in uscita dalla intranet passano attraverso il firewall, che esamina ciascun messaggio e blocca quelli che non rispondono a specifici criteri di sicurezza.
Notare che alcune delle informazioni in questa pagina sono datate.
Ulteriori informazioni
Il firewall con ridirezione DNAT è una configurazione un po' complessa in cui gli host sono nella stessa sottorete del servizio con DNAT che cercano di usare, e necessita di una particolare cura se si vuole che le connessioni funzionino.
La pagina del firewall con ridirezione delle porte locali spiega come fare la ridirezione del traffico da una porta ad un'altra con una sola macchina.
Queste informazioni sono impagabili, sulla falsa riga della ECN: http://www.tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.cookbook.ultimate-tc.html
Un'altra buona lettura su iptables, sia per gli utenti novizi sia per gli esperti può essere trovata all'indirizzo: http://www.frozentux.net/documents/iptables-tutorial/
Su questo wiki esiste una pagina su it/iptables.
Scegliere il frontend per IPtables
Introduzione
Ci sono moltissimi frontend per iptables. Perciò si hanno molte alternative tra cui scegliere. Questa sezione è pensata per aiutare a fare una scelta tra tutte queste possibilità fornendo un confronto fra gli strumenti. N.B.: si deve installare solamento uno di questi pacchetti. L'installazione di più di un pacchetto non renderà il sistema più sicuro: probabilmente renderà il sistema ingestibile.
A proposito, esiste anche un articolo di securityfocus (di aprile 2001) che confronta gli stessi strumenti. Alcuni di essi sono descritti nel Manuale Securing Debian.
Panoramica
Ecco una panoramica dei diversi strumenti (una selezione ispirata da ciò che era disponibile in Debian unstable nel luglio 2014):
Pacchetto e URL a monte; |
Interfaccia; |
Linguaggio di programmazione; |
Dimensione dei sorgenti (ott 2005); |
Rilasci (lug 2014) |
edit (debconf) |
sh |
60K |
< 2003-08 - 2014-04 |
|
edit |
perl |
80K |
2000-12 - 2013-07 |
|
edit |
bash |
320K |
< 2003-01 - 2013-01 |
|
edit |
C |
150K |
< 2002-10 - 2005-05 |
|
edit |
bash |
210K |
< 2003-05 - 2014-02 |
|
gui (gnome) |
C |
1170K |
< 2003-01 - 2005-01 |
|
gui (kde) |
C++ |
1190K |
< 2003-12 - 2013-04 |
|
gui (kde) |
C++ |
590K |
2001-11 - 2008-08 |
|
edit |
sh |
40K |
2002-09 - 2007-01 |
|
shell (autolearning) |
bash |
500K |
< 1999-03 - 2002-05 |
|
edit, iptables |
sh |
70K |
< 2000-11 - 2004-10 |
|
edit, webmin |
sh |
130K |
< 2001-12 - 2014-07 |
|
edit (debconf) |
perl |
34K |
2002-02 - 2014-07 |
|
edit |
sh |
80K |
2003-03 - 2014-06 |
|
curses |
C |
1877K |
2004-07 - 2009-04 |
|
edit |
python |
247K |
2009-05 - 2012-08 |
ferm usa una configurazione basata su testo con parole chiave che assomiglia molto alle regole di iptable. Le variabili e regole combinate simplificano la definizione di regole e migliorano la leggibilità.
Il file di configurazione di fiaif è molto simile alle regole grezze di iptables.
Filtergen ha il supporto anche per filtri di pacchetti non-iptables. Il file di configurazione è specifico dell'applicazione.
firestarter è un'applicazione pensata per gli utenti finali che include uno strumento di configurazione guidata per impostare velocemente le regole del firewall. L'applicazione include una interfaccia grafica per poter monitorare quando un regola del firewall blocca il traffico.
fwbuilder è un'interfaccia grafica orientata agli oggetti che include compilatori di politiche per varie piattaforme firewall, inclusi netfilter di Linux, pf di BSD (usato in OpenBSD, NetBSD, FreeBSD e MacOS X), oltre a liste di accesso dei router. È simile ai software di gestione di firewall aziendali. Tutte le funzionalità di fwbuilder sono disponibili anche dalla riga di comando. guarddog is oriented both to novice and advanced users.
knetfilter è un'alternativa/un concorrente dello strumento guarddog benché leggermente orientato agli utenti esperti.
mason è un'applicazione che può proporre regole del firewall basate sul traffico di rete del sistema.
La descrizione del pacchetto Debian di netscript-2.4 dice: "NON usare questo pacchetto su un server: è pensato per router dedicati e firewall con quasi nessun servizio configurato."
shorewall è uno strumento di configurazione del firewall che fornisce il supporto per IPsec, così come un supporto limitato per lo shaping del traffico oltre alla definizione delle regole del firewall. La configurazione viene fatto attraverso un semplice insieme di file che vengono usati per generare le regole di iptables.
ufw: ufw di Canonical proviene da Ubuntu. (Nuovo per squeeze)
vuurmuur: di Victor Julien; vuurmuur non è (ancora) incluso in Debian, ma pacchetti Debian sono disponibile in un archivio usabile con apt.
Informazioni specifiche per Debian
Alcuni dati Debian-specifici su questi pacchetti:
Pacchetto e URL del pacchetto Debian |
Descrizione del pacchetto Debian |
Single- and multi-homed firewall script with DSL/ADSL support |
491 |
|
maintain and setup complicated firewall rules |
1661 |
|
An easy to use, yet complex firewall |
X |
|
packet filter generator for various firewall systems |
11 |
|
An easy to use but powerful iptables stateful firewall |
537 |
|
gtk program for managing and observing your firewall |
X |
|
dynamically managed firewall with support for network zones |
565 |
|
Firewall administration tool GUI |
2323 |
|
NAT/masquerading/port-forwarding configuration tool in Qt5 |
14 |
|
iptables-based Linux firewall |
15 |
|
Interactively creates a Linux packet filtering firewall |
19 |
|
Linux 2.4.x (and 2.6.x) router/firewall network configuration system |
63 |
|
Shoreline Firewall (Shorewall) |
3232 |
|
Advanced iptables-firewall script |
29 |
|
Wrapper for Linux iptables, for filtering rules management |
71 |
|
program for managing a Netfilter firewall |
5377 |
|
curses-based firewall |
- |
Il numero relativo alla popolarità è il numero di installazioni. Più alto è il numero, più alto è il numero di installazioni; "-" e "X" denotano pacchetti non in Debian; "X" segnala i pacchetti che erano precedentemente presenti ma che sono stati rimossi in Stretch.
Alla data del 02 novembre 2005, per tutti i pacchetti (ferm, fiaif, filtergen, firehol, firestarter, fwbuilder, guidedog, hlfl, ipkungfu, ipmenu, mason, netscript-2.4, shorewall, uif) il BTS aveva una situazione piuttosto OK, senza alcun bug importante; i pacchetti sembravano ben mantenuti.
Nota sulla dimensione dei pacchetti: se ci sono molti sorgenti il pacchetto potrebbe diventare troppo grosso per i gusti dell'utente. Tuttavia se la dimensione dei sorgenti è troppo piccola, ci sono probabilmente meno funzionalità carine. D'altro canto, è più facile controllare la presenza di errori in pacchetti piccoli e questi potrebbero fornire una bella esperienza "diretta e snella".
Ancora altre opzioni
C'è anche webmin-firewall. webmin-firewall è un plugin per webmin, fornito in firewall.wbm.gz: "Configurare un firewall Linux usando iptables". ipmasq è fornito come pacchetto per Debian lenny ma è stato abbandonato in squeeze. gshield non è più fornito con Debian.
ipmenu, un piccolo script perl con interfaccia curses non era fornito con il rilascio Etch di Debian.
Conclusioni
Come conclusione, viene fornito un modo per prendere una decisione usando i dati forniti più sopra.
Se si desidera uno strumento con interfaccia grafica usare firestarter o fwbuilder è probabilmente una scelta saggia: sono strumenti popolari. fwbuilder (per KDE) era di gran lunga il più popolare. Tuttavia si dice che non sia per nulla uno strumento per principianti. Guarddog (KDE) e firestarter (GNOME) sono ugualmente popolari. La dimensione del codice di tutti e tre è più o meno la stessa.
Se non si desidera uno strumento con interfaccia grafica, ad esempio perché si lavora con server e le librerie X non sono installate, si potrebbe apprezzare un file di configurazione in puro testo modificabile, dato che si gestiscono i file di configurazione con un sistema di controllo delle versioni. Se si desidera uno strumento che sia anche attivamente mantenuto (dal settembre 2004 all'ottobre 2005 deve esserci stato almeno un rilascio.
Guardando più da vicino i 6 strumenti non-gui che soddisfano questi requisiti:
Pacchetto e documentazione online |
Formato di configurazione del file |
Dimensione dello script principale |
shell |
135K |
|
app specific |
62K |
|
shell |
24K + 131K = 155K |
|
app specific |
203K |
|
shell |
9K |
|
python |
848 k |
Il pacchetto Debian arno-iptables-firewall viene fornito con un frontend debconf: è possibile configurarlo in modo interattivo.
Per usare ferm, è necessario scrivere un file di configurazione usando parole chiave che sono usate da iptables. Ferm fondamentalmente aggiunge una sintassi annidata e variabili alle regole di iptables. Sembra che abbia il supporto migliore per IPv6 tra questi pacchetti. Questo offre un approccio veloce e di facile manutenzione per scrivere regole del firewall se si è abituati ai comandi di iptables.
"FireHOL è un linguaggio per esprimere le regole del firewall, non semplicemente uno script che produce un qualche tipo di firewall." I file di configurazione di FireHOL sono script di shell (ma di fatto non lo sembrano; sembrano semplici che più semplici non si può). FireHOL viene fornito con firehol-wizard(8), che crea un file di configurazione che è poi necessario modificare a mano. Il supporto per IPv6 è stato aggiunto recentemente (prima era disponibile nel fork di FireHOL chiamato Sanewall). È uno strumento piuttosto popolare.
"Shorewall non è il più facile strumento di configurazione di iptables disponibile, ma penso che sia il più flessibile e potente." "Può gestire ambienti di rete complessi e in continuo cambiamento." Necessità di più file di configurazione, anche per le impostazioni semplici. Sembra adatto solamente per gli utenti esperti. (Probabilmente ce ne sono molti tra gli utenti Debian: shorewall è molto popolare!)
Per uruk, esiste un file di configurazione d'esempio per uruk. Uruk è estremamente piccolo: ciò è un bene se si desidera adattare lo strumento alle proprie necessita, o se si vuole essere sicuri che faccia ciò che si vuole: non ci vuole molto a controllare tutto il codice manualmente. Naturalmente la dimensione ridotta ha il prezzo di minori funzionalità. Tuttavia se si hanno necessità molto specifiche si può facilmente inserire le proprie regole personalizzate di iptables nell'infrastruttura uruk. Ciò è documentato nelle pagine di manuale di uruk. Fare attenzione tuttavia al fatto che la maggior parte di questa sezione di questa pagina del wiki è stata scritta dall'autore di uruk. Se si pensa che questa pagina potrebbe essere più obiettiva, modificarla!
Prendere una decisione finale in questa lista ristretta di 5 candidati viene lasciato al lettore: dipende dalle specifiche situazioni e necessità. Si può installarli uno alla volta e provarli.
Ringraziamenti
Grazie a Michael Hanke per aver scritto il punto di partenza del confronto tra i frontendi di IPtables. Grazie a Victor Julien per aver contribuito con alcune annotazioni sul pacchetto Vuurmuur. Fornito in parte dalla mailing-list debian-firewall.
CategorySystemAdministration | CategorySystemSecurity | CategoryRedundant: unire con DebianFirewall