Home > GNU/Linux, Sicurezza e GNU/Linux > Sicurezza e GNU/Linux (10): Configurare il firewall

Sicurezza e GNU/Linux (10): Configurare il firewall

Abbiamo visto nella precedente puntata come funziona a grandi linee netfilter, il firewall del kernel Linux. La configurazione di netfilter è in genere associata al programma iptables. Poiché la sua sintassi non è delle più semplici e il suo utilizzo è indirizzato soprattutto agli amministratori di sistema, quasi tutte le distribuzioni hanno sviluppato metodi semplificati ed interfacce grafiche.

Ubuntu ha preinstallato ufw (uncomplicated firewall) un programma a linea di comando dalla sintassi estremamente più semplice di iptables, anche se non ne riproduce tutte le funzionalità. Ma solo quelle più comuni. Ufw ha anche il vantaggio che, una volta configurato, parte automaticamente all’avvio con le regole impostate.

Esiste anche un’interfaccia grafica per ufw chiamata gufw. Per installarla basta cercare nel gestore pacchetti o nel software center. Una volta installata, la troveremo in Sistema > Amministrazione > Configurazione firewall. Come accennato nelle puntate precedenti, di norma non è necessario configurare il firewall se siamo in uno di questi casi:

  • computer collegato alla rete sempre tramite un router con un proprio firewall
  • pc o portatile collegati direttamente alla rete in altro modo (modem, chiavetta umts, ecc.) se non abbiamo nessun servizio attivo (condivisione file, ad esempio)

C’è però il caso, abbastanza comune, di chi ha un portatile con delle cartelle condivise con Samba e si connette normalmente dentro una rete locale, ma a volte tramite chiavetta umts o modem. In questo specifico caso la condivisione sarebbe visibile a chiunque in Internet. Sebbene sia possibile configurare Samba per chiedere la password oppure per accettare le connessioni solo dagli IP di una LAN, può risultare piuttosto noioso, soprattutto nel caso in cui le LAN a cui ci colleghiamo sono differenti (casa, ufficio) e magari hanno indirizzi differenti. Inoltre il firewall è pur sempre un filtro a livello di sistema, più semplice da controllare e che ci permette eventualmente di bloccare anche altri servizi installati sulla macchina.

Vediamo ora come bloccare Samba ma autorizzare, ad esempio, il client torrent Transmission.

Prima di tutto attiviamo il firewall tramite gufw. Per impostazione predefinita, gufw blocca qualsiasi connessione in entrata. Infatti vediamo:

Ora autorizziamo Transmission: clicchiamo su “aggiungi” e selezioniamo come in figura:

Pertanto avremo nelle nostre regole questo:

E’ importante notare una cosa: gufw cita esplicitamente Transmission e apre la porta predefinita di questo programma, ma esso non blocca il programma in quanto tale. Se avete configurato Transmission su un’altra porta, l’apertura non funzionerà. Ovviamente tramite gufw potete comunque aprire la porta giusta, inserendola manualmente.

Questa è una importante differenza con il firewall di Windows che invece ha un funzionamento (anche) per application. Se ve lo state chiedendo, i firewall che comprendono anche il funzionamento per application su GNU/Linux sono rari. Uno di essi è nufw, presente nei repo di Ubuntu ma purtroppo mancante della sua interfaccia grafica. Inoltre si tratta di un programma molto complesso e non certo adatto al normale utente desktop. Tra l’altro nufw permette questa funzione tramite un reindirizzamento dell’intero traffico verso se stesso (quindi in user space) il che non è esattamente un metodo efficiente.

L’unico programma firewall per application che invece agisce a livello di kernel è Tux Guardian, purtroppo non più sviluppato (ho scritto all’autore e mi ha detto che lo riprenderà in mano). D’altra parte Netfilter ha molte funzioni che al firewall di Windows mancano del tutto, in particolare quelle indirizzate a gestire il traffico in reti locali. Come ovvio la diversa diffusione sul desktop tra i due sistemi ha portato a questa differenziazione anche nelle funzionalità. Il funzionamento del firewall di Windows torna particolarmente efficace per bloccare l’uscita in rete di eventuali programmi malevoli installati sulla macchina involontariamente (il che non significa né che previene l’infezione, né che la elimina).

Tornando a Gufw, l’importante è quidi ricordarsi di cambiare la regola nel caso cambiamo la porta.

Lasciando tutto così, una volta tornati in ufficio, il firewall bloccherebbe l’accesso alle cartelle condivise sul nostro computer. Per aprire il firewall agli indirizzi della rete locale, possiamo fare così:

Questo autorizzerà tutte le connessioni dalla rete locale. Attenzione a modificare eventualmente l’indirizzo 192.168.1.0/24 con quello corretto per la vostra LAN: vi basta mettere le prime tre cifre del vostro IP interno e poi aggiungere .0/24, ad esempio se il vostro IP in LAN è 192.168.0.10 allora mettete 192.168.0.0/24.

Volendo potete limitarvi solo a Samba, lasciando tutto uguale nella riga “from” e aggiungendo le porte di Samba nella riga “to” e precisamente: 135,139,445 TCP e 137,138 per UDP (avrete quindi bisogno di due regole).

Il firewall di Fedora su Ubuntu

Fedora è una vera miniera da cui attingere software. Essendo una sorta di versione “blending edge” di Red Hat Enterprise Linux, è facile trovarsi software che poi un giorno finirà in RHEL, soprattutto software di amministrazione di sistema.

Chi volesse provare l’interfaccia per il firewall di Fedora può aggiungere il mio repository “quasi rolling” per Ubuntu Natty. Il pacchetto si chiama system-config-firewall

Come vedete è ben più complesso di gufw ma permette di fare praticamente tutto ciò che si può fare tramite linea di comando con iptables.

  1. Silvio Arnone
    22 luglio 2011 alle 10:16

    Ecco un altro articolo di Guiodic da conservare gelosamente🙂
    ( Io l’ho annotato su Delicious )

  2. vitto
    22 luglio 2011 alle 11:01

    Grazie guiodic!
    ma mi chiedevo, samba è fatta per condividere con pc windows, invece per chi ha cartelle condivise tra linux non c’è bisogno di bloccare porte?

    • 22 luglio 2011 alle 11:39

      In realtà Samba è usato di default a prescindere se condividi con Windows o GNU/Linux o Mac. Quando con GNOME condividi una cartella, usa Samba.

  3. 22 luglio 2011 alle 15:13

    Ciao,
    continuo a seguire con interesse questi tutorial sulla sicurezza quindi … grazie🙂

    Domanda: il termine firewall non indica un muro di fuoco, come forse potrebbe sembrare, ma le porte taglia fuoco presenti negli edifici per isolare i locali in caso di incendio … o sbaglio?

  4. 22 luglio 2011 alle 20:36

    complimenti per il post!! mi tornerà sicuramente molto utile! questi post sulla sicurezza sono veramente ben fatti! complimenti.

    ho una domanda un off-topic :p mi piacerebbe sapere che tema è quello che usi sul tuo desktop.

  5. 22 luglio 2011 alle 22:59

    guiodic :
    No, indica anche proprio dei muri tagliafuoco: http://en.wikipedia.org/wiki/Firewall_%28construction%29

    Grazie per la risposta … in ogni caso non si tratta di “un muro di fuoco”.

    Vado off-topic: hai mai pensato di inserire, nel tuo blog, la possibilità di effettuare delle donazioni?
    Scrivi bene, chiaro, conciso e anche professionale … molti appassionati degli argomenti che proponi apprezzano quello che fai. Non per lucrarci sopra … ma più semplicemente per farti offrire una pizza con la morosa e/o gli amici ogni tanto; credo che a molti che ti leggono non dispiacerebbe. Una donazione volontaria può anche essere limitata a 5/10 euro, nulla di trascendentale ma credo possa far piacere sia a te che a noi … la butto lì.

    Alla prossima.

  6. Regulus
    23 luglio 2011 alle 19:04

    Il Firewall di Fedora non parte automaticamente all’avvio come ufw giusto?

  7. beppe
    29 gennaio 2012 alle 18:20

    salve. mi interessava sapere se fosse possibile bloccare anche applicazioni che chiedono connessione in uscita..

  8. 25 ottobre 2014 alle 16:41

    Spot on with this write-up, I truly believe that this website
    needs much more attention. I’ll probably be returning to see more,
    thanks for the info!

  1. No trackbacks yet.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: