Una buona configurazione del proprio firewall deve mettere le proprie reti al sicuro da eventuali intrusioni da utenti non autorizzati, ma a volte è necessario aprire un canale tra una rete ed un’altra per un singolo utente oppure per una sottorete.
Con questa piccola guida mostreremo come creare una regola per permettere ad un ad accedere a delle risorse posizionate su reti diverse.
Prima di passare ai vari scenari possibili è necessario spiegare alcuni punti
Politica predefinita
Quando si crea una regola è necessario definire che tipo deve essere per questo è presente una maschera che determina il tipo di regola
- ACCEPT – i pacchetti di rete vengono accettati
- DROP - I pacchetti di rete verranno eliminati direttamente.
- REJECT - Questo ha lo stesso effetto di 'DROP', inoltre l'host remoto riceverà un messaggio di errore ICMP.
- COMMENTO – Inserire una nota per indentificarla tra tutte le regole
- POSIZIONE DELLA REGOLA – indica la sua posizione, la regola in posizione 1 viene eseguita prima della regola della posizione 10
Set di regole di zona predefinito
IPFire viene fornito con un set di regole predefinito che limita il traffico tra le singole zone di rete. La tabella seguente mostra queste limitazioni:
|
Sorgente |
Direzione |
Destinazione |
Stato |
|
Rosso |
-> |
Firewall |
Chiuso, usa l’accesso esterno |
|
Rosso |
-> |
Arancio |
Chiuso. Usa il port forwarding |
|
Rosso |
-> |
Blu |
Chiuso. Usa il port forwarding o VPN |
|
Rosso |
-> |
verde |
Chiuso. Usa il port forwarding o VPN |
|
Arancio |
-> |
Firewall |
Chiuso, nessun DNS né DHCP per Arancio |
|
Arancio |
-> |
Rosso |
Aperto |
|
Arancio |
-> |
Blu |
Chiuso, usa una regola firewall |
|
Arancio |
-> |
verde |
Chiuso, usa una regola firewall |
|
Blu |
-> |
Firewall |
Chiuso, usa Blue Access |
|
Blu |
-> |
Rosso |
Chiuso, usa Blue Access |
|
Blu |
-> |
Arancio |
Chiuso, usa Blue Access |
|
Blu |
-> |
verde |
Chiuso, usa Creazione di un regola firewall da blu a verde o VPN |
|
verde |
-> |
Firewall |
Aperto |
|
verde |
-> |
Rosso |
Aperto |
|
verde |
-> |
Arancio |
Aperto |
|
verde |
-> |
Blu |
Aperto |
Scenario tipico
Abbiamo realizzato uno scenario tipico di configurazione dove utenti diversi devono accedere a delle risorse su reti diverse,
quello che indicheremo sono solo esempi applicativi di configurazione, ognuno dovrà appiccare le giuste regole secondo la propria configurazione e necessita
- Primo scenario un utente ospite deve poter stampare su una stampante posizionata sulla rete verde, la stampante ha l’indirizzo IP 192.168.10.50, e l’utente ospite avrà l’indirizzo IP 192.168.253.25
La configurazione è abbastanza semplice, basta inserire i due indirizzi IP in sorgente (Blu) e destinazione (Verde)
- Secondo scenario tutti gli utenti ospiti possono accedere ad una risorsa posta sulla verde che risponde all’indirizzo IP 192.168.10.10
In questo caso si cambia il tipo di configurazione della sorgente inserendo non l’indirizzo ip ma la rete blu
- Terzo scenario tutti gli utenti posti sulla rete verde non possono accedere alla risorsa posta sulla rete arancione che risponde all’indirizzo IP 172.16.2.2
In questa regola si è scelto di mettere come regola drop ma andrebbe bene anche reject dipende dal tipo di errore che si vuole avere.
Al termine di ogni regola è necessario confermare le regole realizzate applicandole e rendendole definitive
