In questo articolo descriveremo una configurazione del firewall di di ArgoLinux^? che realizza il seguente scenario complessivo relativo alla sicurezza dall'intrusione e al controllo del traffico verso internet. Il software coinvolto nell'implementazione del servizio e' netfilter/iptables per quanto riguarda il filtraggio dei pacchetti e le fondamentali operazione di redirezione del traffico (MASQUERADING, SNAT/DNAT), squid per quanto riguarda il servizio proxy e Dans Guardian per quanto riguarda il filtraggio dei contenuti della navigazione. La configurazione di Squid e Dans Guardian e' descritta altrove. Qui ci occuperemo di come configurare netfilter/iptables affinchè si abbia il risultato sotto descritto.

La macchina firewall (FW)

1. protegge 5 sottoreti (VLANs)
2. ridirige il traffico in ingresso sulla porta 80 al server web principale e quello sulla porta 81 a un server web secondario
3. ridirige il traffico ssh in ingresso sulla porta 22 a se stesso e quello sulla porta 24 al servizio ssh in ascolto sul server
4. consente connessioni VPN attraverso la porta 5000
5. vieta in generale l'uscita diretta su internet attraverso la porta 80
6. ridirige in generale tutte le richieste internet sulla porta 8080 a cui è attestato Dans Guardian anche se il browser è configurato per sfruttare il servizio proxy di squid alla porta 3128. In questo modo resta garantito il meccanismo di autenticazione dell´utente svolto da squid e il controllo sui contenuti del traffico web.
7. impedisce/consente il traffico tra le vlan (ad esempio isola la vlan5, segreteria, dal resto della rete per quanto riguarda il traffico in ingresso ma consente l´accesso internet alle macchine della segreteria.

a quanto appena detto si aggiunge la gestione di alcune importanti eccezioni.

1. ai server viene garantito l´accesso diretto internet sulla porta 80 bypassando tutti i servizi proxy, questo facilita tutte le operazione di aggiornamento automatico via apt-get e argoupdater (la procedura sistematica di aggiornamento di Argo)
2. ad alcune macchine qualificate viene garantito il bypass di Dans Guardian
3. ad alcune macchine qualificate viene consentito l´accesso alla vlan5 (segreteria), ad es. si vuole che il dirigente scolastico possa scambiare dati direttamente con gli uffici.

Naturalmente i modi in cui avviene l´autenticazione dell´utente e il controllo della navigazione dipende dalle configurazioni di Squid e Dans Guardian che quindi aggiungono due ulteriori strati di controllo.

In ArgoLinux la configurazione del firewall è tutta contenuta nei due file /etc/argo/fw.conf e /etc/argo/fw.add . Eccone il contenuto necessario per realizzare lo scenario sopra descritto.

/etc/argo/fw.add

### DEFINIZIONE DELLE VARIABILI LOG="1" #viene attivato il logging

INT="vlan1 vlan2 vlan3 vlan4 vlan5" #interfacce interne definite in /etc/network/interfaces EXT="ext0" #interfaccia verso il router ADSL

# ip di tyutte le VLANs LAN="x.x.x.0/24 y.y.y.0/24 z.z.z.0/24 w.w.w.0/24 u.u.u.0/24"

TCP_DPORTS="22 80 20 21 24 5000" # porte con servizi in ascolto UDP_DPORTS=""

# Input chains w/ 'tnl' in the name (expr match $name tnl -eq 3) will not # be considered by 'firewall' script

INPUT_CHAINS="int ext log" FWD_CHAINS="fwd flog"

FORWARD="1" IP_MODE=static IP_EXT=x.x.x.x # ip della scheda connessa col router ADSL

# uncomment this for transparent proxy # PROXY_REDIR_PORT=3128

ecco il contenuto del file /etc/argo/fw.add