FIREWALL IP TABLES. April 28, 2006

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "FIREWALL IP TABLES. April 28, 2006"

Transcript

1 FIREWALL IP TABLES April 28, 2006

2 Contents 1 Prefazione Disclaimer Licenza d'uso Introduzione ai rewall Che cosa sono? Tipi di rewall Stateful e Stateless Application Proxy e Proxy SOCKS Introduzione a Netlter e IP Tables Netlter IP Tables Connection Tracking Installare IP Tables Installazione Aggiornamento Nozioni di base su iptables Tabelle Punti di aggancio e catene Catene (chains) Regole Politiche (policy) Nozioni avanzate su iptables Obbiettivi (target) Indirizzi Interfacce Protocolli Frammenti !

3 CONTENTS 2 7 Estensioni dei criteri di selezione tcp udp icmp mac limit owner state tos mark ttl multiport unclean Estensioni degli obbiettivi REJECT DNAT REDIRECT SNAT MASQUERADE MARK TOS TTL LOG MIRROR Esempi d'uso Tabella Filter Tabella Nat Tabella Mangle Appendice A B C D Riferimenti 34

4 Chapter 1 Prefazione In questo manuale l'autore si pregge l'obbiettivo di scrivere una guida concisa ed il piu' possibile esaustiva, che fornisca i concetti necessari per lavorare in modo ecace con il rewall IP Tables. I concetti di base sulla rete (Three Way Handshake, formato dei pacchetti ip, tcp, udp, ecc.) sono un prerequisito. Per errori, eventuali chiarimenti ed altro potete scrivere a questo indirizzo Per approfondimenti si veda la sezione Riferimenti. Il sito di riferimento nel quale sara' pubblicato un aggiornamento o altri formati di questa guida e' sito di riferimento Per contattare l'autore scrivere al seguente indirizzo 1.1 Disclaimer L'autore declina ogni responsabilita' riguardo danni o malfunzionamenti derivati dall'utilizzo di questa guida. 1.2 Licenza d'uso Questo documento e' sottoposto alla seguente licenza d'uso: licenza d'usohttp://creativecommons. org/licenses/by-nc-sa/2.5/. 3

5 Chapter 2 Introduzione ai rewall 2.1 Che cosa sono? I rewall sono dispositivi software e/o hardware posti a protezione dei punti di interconnessione eventualmente esistenti tra una rete privata interna (ad esempio una Intranet) ed una rete pubblica esterna (ad esempio internet) oppure tra due reti dierenti. Principalmente agiscono come dei ltri controllando il traco di rete che proviene dall'esterno e dall'interno, permettendo soltanto il traco che risulta eettivamente autorizzato. Il rewall analizza tutti i pacchetti che lo attraversano in modo da prendere una decisione riguardo al passaggio o meno di questi ultimi, sulla base delle regole di rewalling denite in fase di congurazione. Le architetture dei rewall sono molteplici e si possono trovare rewall che agiscono su livelli diversi dello stack TCP/IP. Vediamone i principali tipi. 2.2 Tipi di rewall Esistono due tipologie di rewall: 1. Firewall ltranti - bloccano i pacchetti di rete selezionati. 2. Proxy Server - eettuano le connessioni di rete. I rewall ltranti (packet ltering rewall) o screen routing rappresentano un primo livello di ltraggio. Questo tipo di rewall e' presente nel kernel di Linux (chiamato Netlter o IPTables) e lavora a livello data/link, rete e trasporto della pila ISO/OSI. Le decisioni sono prese analizzando l'indirizzo di provenienza, l'indirizzo di destinazione, le porte, i ag TCP, ecc. I rewall ltranti sono trasparenti per gli utenti. L'utente non deve impostare regole nella sua applicazione per utilizzare internet. I Proxy Server sono principalmente usati per controllare, o monitorare, il traco. In particolare forniscono una connessione richiesta(host <-comunica-> Proxy Server <-comunica-> Internet), quindi l'utente non accedera' direttamente all'esterno, ma si connettera' solamente al Proxy Server e sara' quest'ultimo ad accedere eettivamente ad internet. Questi tipi di rewll proteggono la privacy e possono ltrare delle pagine in base al contenuto. 4

6 CHAPTER 2. INTRODUZIONE AI FIREWALL Stateful e Stateless Questi tipi di rewall si dividono a loro volta in due categorie: 1. Stateful. 2. Stateless. Un rewall stateful costituisce una variante di quelli stateless, ovvero i pacchetti di un usso dati vengono esaminati nel dettaglio soltanto all'inizio della connessione. Quando una nuova connessione viene considerata vericata e ammissibile, viene aggiunta una voce a una tabella di verica dello stato di connessione. I futuri pacchetti che faranno parte di questa connessione possono non essere sottoposti all'intera serie di regole di verica. Il vantaggio di un rewall stateful consiste proprio nell'oerta di tutta la sicurezza possibile di un rewall ltrante, utilizzando una frazione dei cicli di CPU della soluzione stateless, che verica ogni singolo pacchetto. IP Tables e' un rewall stateful. 2.4 Application Proxy e Proxy SOCKS Esistono due tipi di Proxy Server: 1. Application Proxy (Proxy di applicazione o Proxy Server). 2. Proxy SOCKS. Negli Application Proxy per collegarsi con l'esterno, ad esempio il client si connette automaticamente al proxy, il quale si connettera' poi al server del sito. Alcuni proxy di applicazione possono fare la cache dei dati richiesti, cio' abbassa le richieste di banda e diminuisce il tempo d'accesso per il successivo utente che vuole accedere a quegli stessi dati. Inoltre consentono di creare delle regole molto avanzate e di interagire facilmente con gli utenti. Poiche' i Proxy Server gestiscono tutte le comunicazioni, si puo' registrare qualsiasi URL che si visita e/o qualsiasi le si scarica, rispettivamente con un Proxy HTTP o web e con un Proxy FTP. E' anche possibile ltrare parole "inappropriate" dai siti visitati o controllare la presenza di virus. I Proxy Server possono autenticare gli utenti. Prima di eettuare una connessione verso l'esterno, il server puo' richiedere all'utente, per prima cosa, di eettuare il login. Ad un utilizzatore del web cio' comportera' la necessita' di un login per ogni sito che desidera visitare. Un server SOCKS ha funzioni piu' limitate rispetto a un Application Server; invece di fare da cache e' un software che si occupa soltanto di applicare restrizioni imponendo dei limiti o dando privilegi in base a regole stabilite dall'amministratore. Funziona solamente con connessioni di tipo TCP e, come i rewall ltranti, non fornisce l'autenticazione degli utenti. E' possibile comunque registrare dove si à connesso ogni utente.

7 Chapter 3 Introduzione a Netlter e IP Tables Iniziamo col denire a cosa si riferiscono Netlter e IP Tables. Netlter e' la parte del kernel che si occupa della manipolazione e del ltraggio dei pacchetti ed e' un'infrastruttura di basso livello. IP Tables e' l'infrastruttura di livello superiore che costituisce la via di comunicazione tra l'utente e Netlter. 3.1 Netlter Netlter e' supporto sviluppato per manipolare ed esaminare i pacchetti che giungono sullo stack dei protocolli di rete, in determinate fasi della gestione del pacchetto, tramite dei punti d'aggancio (hooks). Lo schema seguente illustra quali punti d'aggancio i pacchetti attraversano per giungere o lasciare la nostra macchina. 6

8 CHAPTER 3. INTRODUZIONE A NETFILTER E IP TABLES 7 I pacchetti in arrivo da una interfaccia di rete, dopo aver passato dei controlli elementari di integrita' arrivano al primo punto di aggancio: PREROUTING. Qui si devono eseguire le manipolazioni sui pacchetti che ne modicano la destinazione, ovvero il DNAT. Una volta attraversato il PREROUTING i pacchetti vengono passati al codice di gestione di instradamento, che decide se il pacchetto e' destinato ad un indirizzo locale della macchina o deve essere reinviato verso un altra rete. Se il pacchetto e' destinato ad un indirizzo locale esso proseguira' il suo percorso nel Netlter attraversando un secondo punto d'aggancio, identicato da INPUT, prima di poter essere recapitato al processo a cui e' diretto, se esso esiste, o generare un opportuno messaggio d'errore, qualora questo sia previsto. Qui si esegue il ltraggio dei pacchetti destinati alla nostra macchina. Se invece il pacchetto deve essere reinviato ad un indirizzo su una rete accessibile attraverso un altra interfaccia dovra' prima attraversare un secondo punto di aggancio, FORWARD, dove verra' eettuato il ltraggio dei pacchetti che attraversano la nostra macchina per un'altra destinazione. Il punto d'aggancio OUTPUT e' attraversato dai pacchetti inviati verso l'esterno generati dai nostri processi. Prima di arrivare sull'interfaccia di uscita vi e' ancora un'altro punto d'aggancio: POSTROUTING. POSTROUTING e' attraversato da pacchetti che transitano sulla nostra macchina (per esempio un gateway) e dai pacchetti generati internamente, per cui in questo punto agiremo sui pacchetti per modicare gli indirizzi sorgente, cioe' eseguiremo il SNAT.

9 CHAPTER 3. INTRODUZIONE A NETFILTER E IP TABLES IP Tables IP Tables e' chiamato cosi' poiche' lavora con le tabelle. Le tabelle contengono le catene e quest'ultime conteno le regole che permettono il ltraggio dei pacchetti ed altre funzionalita'. L'utente tramite IP Tables o meglio il relativo comando iptables comunica con Netlter tramite lascrittura delle regole. 3.3 Connection Tracking Il connection tracking e' una delle piu' importanti aggiunte ad IP Tables (dal kernel 2.4 in poi), rispetto alla sua versione precedente IP Chains. Esso analizza il traco per conoscere ogni connessione presente e denirne lo stato, costruendosi una tabella. Ad ogni connessione saranno associati i pacchetti. Conseguentemente e' possibile ltrare i pacchetti in base allo stato della connesione a cui appartengono ed anche eettuare il NAT (Network Address Translation). In particolare realizzare il masquerading, ossia mascherare gli host di una o piu' reti in modo che accedano ad internet con un singolo indirizzo ip (Source NAT o SNAT) e il trasparent proxing, ovvero gli utenti di una rete per richiedere dei servizi si rivolgeranno ad una macchina, deve essere il loro default gateway, la quale richiede a sua volta questi servizi e li fornira' agli host in modo trasparente (Destination NAT o DNAT). Questo meccanismo e' esteso anche a protocolli non connessi (connectionless) come l' UDP e l' ICMP, identicando la connessione in base agli indirizzi ip e alle porte. Per risolvere il problema della frammentazione dei pacchetti ip, i frammenti sono riassemblati prima di denirne o tracciarne lo stato. Tutte le operazioni di Connection Tracking sono eseguite nel punto d'aggancio PREROUTING e OUTPUT (per i pacchetti generati localmente). Comunque tutte le operazione per denire lo stato di una connessione e associarvi i pacchetti sono eseguiti sul PREROUTING. Gli stati possibili associati a una connessione e conseguentemente ai pacchetti relativi a quest'ultima sono quattro: NEW, ESTABLISHED, RELATED e INVALID. NEW si riferisce ai pacchetti inviati per instaurare una connessione. Nei protocolli connectionless, come l'udp, si considerano NEW i pacchetti nei quali l'indirizzo ip e la porta non corrispondono ad una voce esistente nella tabella delle connessioni. ESTABLISHED identica i pacchetti appartenenti ad una connessione gia' stabilita. RELATED per i pacchetti relativi a una connesione, ma che non ne fanno parte, come un pacchetto ICMP di errore. Inne INVALID si riferisce ai pacchetti contenenti intestazioni non valide, oppure nel caso in cui lo spazio a disposizione sia esaurito nella tabella delle connessioni. Una connessione di un protocollo che e' connectionless (come l'udp) viene considerata conclusa dopo tre minuti che non transitano pacchetti relativi a tale connessione. La maggior parte dei pacchetti ICMP si riferiscono a connessioni gia' esistenti e vengono considerati RELATED.

10 Chapter 4 Installare IP Tables 4.1 Installazione Si consiglia di consultare internet per trovare informazioni adatte alla vostra distrubuzione. In questa sede vedremo i moduli da attivare durante la compilazione o ricompilazione del kernel. In genrale si trattera' un installazione generale tramite sorgenti e in particolare per la distrubuzione Debian. Se non li avete procuratevi i sorgenti del kernel su sorgenti kernel se avete Debian potrete usare il comando: apt-cache search kernel-source apt-get install kernel-source-2.6.x Sostituite al posto di x la versione del kernel. L'ultima versione di IP Tables disponibile su ip tables L'ultima versione del patch-o-matic, disponibile su ftp://ftp.netlter.org/pub/patch-o-matic/. Leggete i vari readme o INSTALL per controllare di aver tutto l'occorente per la ricompilazione, quindi spostatevi in /usr/src o in una directory a vostra scelta e decomprimete tutti i vari.tar.gz o.tar.bz2 tramite comandi quali: tar -xjf le.tar.bz2 oppure tar -xzf le.tar.gz Ora ricompilate il kernel ricordando di abilitare l'opzione 'Network Packet Filtering' nella sezione Networking options. Se si fa questo apparira' nella stessa sezione il menu' 'Netlter conguration', allâinterno del quale si potranno abilitare le varie funzionalita' del Netlter. Gli utenti Debian possono usare questi comandi (in /usr/src/): apt-get install gcc make binutils libncurses5-dev apt-get install kernel-source-2.6.x apt-get build-dep kernel-source-2.6.x apt-get install kernel-package tar -xjf./kernel-source-2.6.x.tar.bz2 & apt-get source iptables apt-get build-dep iptables apt-get source iproute 9

11 CHAPTER 4. INSTALLARE IP TABLES 10 apt-get build-dep iproute 4.2 Aggiornamento Patch-o-matic e' un sistema che permette di applicare le patch all'ultima versione del kernel e/o ai sorgenti di IP Tables (per correggerne qualche bug, per aggiornare le estensione e per otterne nuove). Questo sistema non e' altro che un "repository" dove trovare tali patch di cui eetuare il download ed utilizzare durante la ricompilazione del kernel. Il sito nel quale trovare tali patch e' quello uciale, ovvero patch ip tables

12 Chapter 5 Nozioni di base su iptables IP Tables e' l'infrastuttura mentre iptables e' il comando che viene scritto sulla bash. Questo capitolo trattera' delle opzioni del comando iptables per gestire le strutture quali tabelle, catene, regole e verra' spiegato come subentrano le catene nei punti di aggancio. 5.1 Tabelle Le tabelle sono dedicate a compiti specici e sono i contenitori per le catene predenite e per quelle create dall'utente. Le tabelle disponibili sono: lter, nat, mangle. lter e' la tabella contenente le regole di ltraggio dei pacchetti, contiene le regole per lasciar passare o meno i pacchetti. Ha tre catene (chains) predenite: INPUT, OUTPUT e FORWARD. nat (Network Address Traslation) e' la tabella necessaria per modicare gli indirizzi dei pacchetti. In pratica Netlter puo' modi- care l'indirizzo IP sorgente o di destinazione dei pacchetti. Ha tre catene predenite: PREROUT- ING, POSTROUTING e OUTPUT. mangle Questa tabella e' particolare, in quanto serve a eettuare delle modiche molto specializzate ai pacchetti, inoltre viene utilizzata per evitare alcuni tipi di attacco. Ha cinque catene predefinite corrisponenti a quelle precedenti, cioe' INPUT, OUTPUT, FORWARD, PREROUTING e POSTROUTING. Se non specichiamo altre tabelle con -t utilizzeremo di default lter. 5.2 Punti di aggancio e catene Una catena non e' altro che una lista di regole. Nei punti d'aggancio e' possibile intervenire sui pacchetti (per mnodicarli e deciderne il destino). IP Tables interfaccia l'scrittore delle regole con i punti di aggancio, tramite le catene predenite contenute nelle tre tabelle. Per capire la relazione tra i vari punti d'aggancio e le catene predenite si osservi il seguente schema: 11

13 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 12 Ai vari punti di aggancio corrispondono due o tre catene predenite. Le catene della tabella mangle vengono attraversate per prime, seguite da quelle della tabella nat e lter. Ad esempio un pacchetto che arriva al punto d'aggancio OUTPUT attraversera' in seguenza la catena OUTPUT della tabella mangle, poi quella della tabella nat ed inne quella della lter, prima di giungere al punto d'aggancio successivo: POSTROUTING. Le funzioni delle catene contenute nella tabella lte sono: ltrare i pacchetti in ingresso sulla macchina (attraverso la catena INPUT), quelli instradati da un'interfaccia all'altra attraverso la macchina (tramite FORWARD) e quelli generati internamente dalla macchina stessa e diretti all'esterno (catena OUTPUT). Nella tabella nat sono

14 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 13 modicati gli indirizzi per i pacchetti che arrivano sulla macchina, solitamente sono modicati gli indirizzi di destinazione (DNAT), ad esempio se la macchina e' un gateway, tramite le regole nella catena PREROUTING. Con la catena OUTPUT si agisce sugli indirizzi dei pacchetti generati localmente, mentre tramite la catena POSTROUTING si agisce sugli indirizzi (generalmente quello sorgente SNAT) dei pacchetti in uscita dall'interfaccia. Inne tramite la tabella mangle si modicano i pacchetti in entrata, prima che arrivino sulla macchina (PREROUTING), quelli in entrata sulla macchina locale (INPUT), quelli generati localmente prima dell'instramento (OUTPUT), quelli instradati da un'interfaccia ad un'altra (FORWARD) ed inne quelli in uscita dall'interfaccia (POSTROUTING). 5.3 Catene (chains) I pacchetti vengono sottoposti a una lista di regole in determinati punti (di aggancio) ovvero nelle catene predenite, pero' e' possibile far si' che un pacchetto attraversando, ad esempio, la catena predenita OUTPUT sia processato in base alle regole di un'altra catena sempre della stessa tabella (ma denita dall'utente) tramite l'opzione -j che sara' descritta nel paragrafo 5.1. Questa posibilita' rende chiara l'utilita' dei comandi descritti di seguito. Per interagire con le catene si usa -N per crearne una nuova e -X per cancellarne una creata con il comando precedente. Le catene predenite non si possono cancellare. iptables -N nome_catena iptables -X [nome_catena] # iptables -N no_conn_from_eth0 # iptables -X no_conn_from_eth0 Nel caso si voglia rinominare una catena si usa -E. iptables -E vecchio_nome nuovo_nome # iptables -E no_conn_from_eth0 no_conn_from_ppp0 Per eliminare le regole di una catena si usa -F. iptables -F [nome_catena] # iptables -F no_conn_from_eth0 Attenzione! Utilizzando il comando iptables -F e iptables -X senza specicare il nome della catena verrano cancellate tutte le regole di tutte le catene della tabella selezionata nel primo caso, mentre nel secondo saranno eliminate tutte le catene denite dall'utente appartenenti alla tabella specicata. Per vedere le regole di una catena o di tutte le catene di una tabella viene utilizzata l'opzione -L. iptables -L [nome_catena]

15 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 14 # iptables -L no_conn_from_eth0 # iptables -L Quest'opzione e' molto spesso utilizzata insieme a -n per visualizzare gli indirizzi in formato standard evitando i "long reverse DNS lookups." L'opzione -Z (zero) azzera i contatori dei pacchetti e dei byte in tutte le catene di una tabella (si puo' anche specicare una sola catena). iptables -Z [nome_catena] # iptables -Z no_conn_from_eth0 5.4 Regole Sara' trattata la gestione delle regole ovvero come inserirle, cancellarle, ecc. Come, a cosa applicare le regole sara' l'argomento del capitolo successivo. Per aggiungere una regola in modalita' append, cioe' in modo che sia l'ultima di una catena, si usa l'opzione -A (append). iptables -A nome_catena specicazione_regola # iptables -A FORWARD -p tcp ACCEPT L'opzione -D (delete) e' utilizzata per cancellare una regola che si trova in una determinata posizione all'interno della catena. Il numero delle regole parte da 1. iptables -D nome_catena numero_regola # iptables -D OUTPUT 3 Nel caso non si ricordi il numero della regola si puo' usare -D specicando la regola stessa: iptables -D nome_catena specicazione_regola # iptables -D INPUT -s p icmp -j DROP Le varie opzioni -s, -p e -j saranno spiegate piu' avanti. Per inserire una regola all'interno di una catena si usa l'opzione -I (insert) seguita dalla catena, dal numero indicante la posizione ove inserire la regole e dalla specicazione della regola. iptables -I nome_catena [numero_regola] specicazione_regola # iptables -I INPUT 2 -j accept Inserisco la regola nella posizione 2 della catena INPUT. Se non si specica la posizione della regola (numero_regola) di default e' 1, cioe' la regola verra' inserita in prima posizione. Per sostituire comodamente una regola con un'altra si puo' utilizzare l'opzione -R, seguita dal nome della catena, dal numero della regola da sostituire e dalla specicazione della nuova regola. iptables -R nome_catena numero_regola specicazione_regola

16 CHAPTER 5. NOZIONI DI BASE SU IPTABLES 15 # iptables -R FORWARD 4 -p tcp -j ACCEPT In questo esempio viene sostituita la quarta regola della catena FORWARD con un'altra che accetta i pacchetti tcp (-p tcp -j ACCEPT). Ricordate che l'ordine delle regole nelle catene e' di fondamentale importanza per preservare ed assicurare l'ecacia di tutte le regole contenute per cui prestate molta attenzione a dove aggiungete una regola o a quale cancellate. 5.5 Politiche (policy) Un pacchetto (o meglio la sua intestazione) viene confrontato progressivamente con le regole di una catena, se l'intestazione corrisponde al criterio di selezione viene applicata la decisione (ad esempio puo' essere scartato), altrimenti il pacchetto viene passato alla regola successiva e cosi' via per tutte le regole di una catena. Nel caso non ci siano piu regole da consultare il destino del pacchetto e' deciso dalla politica impostata per tale catena. Le tre politiche sono: DROP, ACCEPT e QUEUE; verranno trattate nel paragrafo 5.1, poiche' il funzionamento e' analogo ai rispettivi obiettivi. Per settare la politica di una catena bisogna usare il comando: iptables -P nomecatena politica # iptables -P INPUT DROP E' vivamente consigliato impostare la politica di tutte le catene a DROP e consentire il traco in maniera esplicita, in modo da rendere il sistema piu' sicuro. Se vi dimenticherete delle regole per accettare un tipo di traco ve ne accorgerete subito, al contrario non e' cosi' immediato sapere cosa bloccare, anche perche' potrebbero esserci nuovi protocolli, ecc. Si ricorda che le politiche esistono solo per le catene predenite; quando un pacchetto arriva al fondo di una catena A denita dall'utente torna ad essere confrontato con la regola successiva (di una catena B) a quella che ha passato il pacchetto alla catena A.

17 Chapter 6 Nozioni avanzate su iptables Si analizzera' come agiscono e come si scrive la parte delle regole chiamata specicazione, in modo da interagire con il pacchetto per deciderne il destino o per modicarlo. Questa parte e' costituita da un criterio di selezione (match) e da un'obbiettivo (target) o azione. In questo capitolo saranno trattati i criteri di selezione standard e gli obbiettivi comuni a tutte le catene predenite. iptables -A INPUT -s p icmp -j DROP match target specicazione Questa regola permette di scartare un pacchetto proveniente dalla nostra macchina che utilizza il protocollo icmp. 6.1 Obbiettivi (target) Tramite l'opzione '-j azione' o 'jump azione' specichiamo l'obbiettivo (target), ovvero l'azione da intraprendere se il criterio di selezione (match) e' soddisfatto. Si puo' anche specicare come obbiettivo una catena creata dall'utente appartenente alla stessa tabella. In questo caso il pacchetto verra' processato dalle regole appartenenti a quella tabella. Oltre questo vi sono quattro obbiettivi validi per tutte le catene: ACCEPT, DROP, QUEUE, RETURN. ACCEPT fa proseguire il pacchetto nelle successive catene (ovviamente predenite), DROP scarta il pacchetto, QUEUE passa il pacchetto in userspace dove verra' gestito da opportuni programmi, per funzionare ha bisogno del modulo "ip_queue" e RETURN applica la politica della catena, mentre se e' una catena creata dall'utente fa si' che il pacchetto torni ad attraversare la catena precedente. 6.2 Indirizzi In questo e nei successivi paragra di questo capitolo saranno trattati i criteri di selezione (match) piu' comuni, cioe' le condizioni che devono essere soddisfatte anche' sia intrapresa l'azione spec- 16

18 CHAPTER 6. NOZIONI AVANZATE SU IPTABLES 17 icata successivamente. Vediamo come specicare, in una regola, un indirizzo ip sorgente o destinazione di un pacchetto con rispettivamente con -s (source) e -d (destination). -s indirizzo_sorgente[/maschera] # iptables -A INPUT -s j DROP Questa regola e' stata aggiunta in append (al fondo) alla catena INPUT. Se l'indirizzo sorgente del pacchetto, cioe' il mittente e' il pacchetto sara' scartato. -d indirizzo_destinazione[/maschera] # iptables -A OUTPUT -d j DROP Anologamente l'opzione -d mi permette di decidere il destino dei pacchetti con una determinata destinazione. In questo caso i pacchetti con destinazione saranno scartati. Notate che la catena non e' piu' la INPUT, dato che l'indirizzo di destinazione di un pacchetto in quella catena e' ovviamente quello del calcolatore. Se si vuole utilizzare come criterio di selezione una rete, come destinazione o sorgente, si deve aggiungere la maschera di rete; di default e' Ci sono due notazioni standard per specicare la maschera di rete valide: o /24. # iptables -A OUTPUT -d / j DROP # iptables -A OUTPUT -d /16 -j DROP Questi due comandi sono equivalenti. I pacchetti proveniente dalla rete con maschera di rete (netmask) /16, cioe' con indirizzo ip compreso tra e saranno scartati. 6.3 Interfacce Le due opzioni utilizzate per specifare un interfaccia in un criterio di selezione sono rispettivamente -i e -o. L'opzione -i e' valida solo per i pacchetti che attraversano le tabelle INPUT, FORWARD e PREROUTING, mentre l'opzione -o per quelli che attraversano le tabelle FORWARD, OUTPUT e POSTROUTING. E' possibile specifcare un interfaccia non ancora attiva, in questo modo la regola non sara' mai soddisfatta. Si puo' usare il + per specicare tutte le intefaccie che cominciano per quelle lettere. # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT # iptables -A INPUT -i eth+ -j DROP Nel primo esempio accetto tutti i pacchetti che hanno come interfaccia di entrata eth0 e eth1 come interfaccia di uscita. Nel secondo scarto i pacchetti in entrata su tutte le interfacce eth. 6.4 Protocolli Tramite l'opzione -p seguita dal nome del protocollo e' possibile discriminare un pacchetto in base al protocollo utilizzato e vengono attivate le estensioni relative a quel protocollo, trattate nel capitolo 6. Possiamo decidere l'azione da intraprendere per un pacchetto che utilizza quel determinato protocollo. I protocolli possibili sono TCP, UDP e ICMP. E' possibile specicarli anche tutti e tre tramite 'all'.

19 CHAPTER 6. NOZIONI AVANZATE SU IPTABLES 18 -p nome_protocollo # iptables -A INPUT -p tcp -j ACCEPT # iptables -A INPUT -p udp,icmp -j ACCEPT # iptables -A INPUT -p all -j ACCEPT Nel primo esempio sono accettati tutti i pacchetti TCP, nel secondo quelli che utilizzano sia l'udp che l'icmp, mentre nel terzo sono accettati tutti i pacchetti che utilizzino uno dei tre protocolli. Si puo'anche specicare il tipo di protocollo in maiuscolo, poiche' non e' case-sensitive. 6.5 Frammenti Se un pacchetto risulta troppo grosso per essere spedito esso sara' suddiviso in frammenti. Un pacchetto in generale e' composto da un header e dei dati. Senza scendere nei dettagli si hanno due possibilita': i frammenti sono troppo piccoli per cui l'header (del livello 4 della pila ISO/OSI) che contiene informazioni sul trasporto come il protocollo (ad esempio TCP) viene suddiviso in vari frammenti, oppure, se i frammenti sono grossi, l'header viene incapsulato solo sul primo pacchetto. Le regole che non trovano informazioni richieste non possono essere soddisfatte, quindi i frammenti, ad eccezione del primo nel secondo caso saranno scartati. Con l'opzione -f si discrimina un pacchetto in base al fatto che sia o meno un frammento. Quindi possiamo decidere di applicare un azione in base ad un criterio di selezione sui frammneti. -f specicazione_regola # iptables -A OUTPUT -f -d j ACCEPT Tramite questa regola tutti i frammenti con destinazione saranno accettati, quindi saranno inviati. 6.6! Il punto esclamativo! si puo' applicare, per esempio, agli indirizzi, alle interfacce, ai protocolli e ai frammenti, ma anche alle estensioni che verranno trattate nel successivo capitolo. E' l'equivalente di negare, ovvero non quello/quegli indirizzo/i, non quella interfaccia, non quel protocollo, non i frammenti. Rivediamo gli esempi con applicato questo operatore. # iptables -A OUTPUT -d! /16 -j DROP Tutti i pacchetti con destinazione diversa dalla rete /16 saranno scartati. # iptables -A OUTPUT! -f -d j ACCEPT In questo modo la regola non sara' applicata ai frammenti. # iptables -A OUTPUT! -f -d! j ACCEPT Accetta, cioe' invia (perche' e' sulla catena di OUTPUT) i pacchetti (non i frammenti) con destinazione diversa da

20 Chapter 7 Estensioni dei criteri di selezione Le seguenti estensioni si riferisco ai criteri di selezione. Saranno trattate quelle considerate piu' utili e comuni, si consiglia di controllare sempre le nuove estensioni nel sito uciale di Netlter, ove si puo' trovare anche una descrizione del funzionamento. 7.1 tcp Le estensioni riguardanti questo potocollo sono caricate di default tramite -p tcp. -sport (sourceport) permette di specicare la porta, ad esempio 80 (per l'http). Si puo' anche utilizzare la stringa corrispondente a quella porta specicata nel le /etc/services. Analogamente vi e' l'opzione -dport (destination-port) che testa il pacchetto in base alla porta di destinazione. E' possibile specicare un range di porte per queste due opzioni tramite ':'. -p tcp -dport numero_porta -p tcp -sport numero_porta -p tcp -dport numero_porta_minore:numero_porta_maggiore -p tcp -sport numero_porta_minore:numero_porta_maggiore # iptables -A INPUT -p tcp -s /16 -dport 80 -j ACCEPT # iptables -A INPUT -p tcp -s /16 -dport http -j ACCEPT Queste due regole sono equivalenti; accettano tutti i pacchetti con protocollo tcp provenienti dalla rete /16 destinati alla porta 80, corrispondente a http. Nella struttura del pacchetto tcp (livello 4 ISO/OSI) ci sono sei ag: SYN,ACK,PSH,URG,FIN,RST. E' possibile prendere decisioni in base a questi ag con l'opzione tcp-ags. Per capire come si lavora con questi ags si osservi il seguente esempio. -p tcp tcp-ags ag_testati ag_settati # iptables -A INPUT -p tcp --tcp-flags ALL PSH,URG -j DROP 19

21 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE 20 La regola esamina tutti i ags dei pacchetti tcp. I pacchetti che hanno i ags PSH e URG impostati sono scartati. Difatti tcp-ags deve essere seguito da una lista dei ags da esaminare e da una lista dei ags che devono risultare impostati. In questo caso ALL signica SYN,ACK,PSH,URG,FIN,RST; esiste anche NONE il cui signicato e' ovvio. Degno di nota e' syn che equivale a tcp-ags SYN,RST,ACK SYN. # iptables -A INPUT -p tcp -s syn -j DROP Tramite questa regola riutiamo i tentativi di connessione tramite pacchetti tcp provenienti dall'indirizzo Da notare che non riutiamo tutti i pacchetti tcp, ma solo quelli con SYN impostato e ACK, FIN non impostati. Evitiamo cioe' che la macchina con indirizzo possa instaturare una connessione tcp con la nostra macchina, ma al contrario noi possiamo instaurare una connesione con essa. Ultima opzione e' tcp-option che permette di vericare se il pacchetto tcp ha un'opzione corrispondente al valore numerico specicato settata. -p tcp tcp-option valore_numerico_opzione # iptables -A INPUT --protocol tcp --tcp-option 0 -j LOG Se il pacchetto ha l'opzione numero 0 settata viene loggato. Il! si puo' ovviamente appliccare a queste opzioni, in modo da negare l'opzione stessa. # iptables -A INPUT -p tcp -s ! --syn -j DROP Riutiamo i pacchetti tcp non di connessione, provenienti dall'indirizzo Questa regola di per se' non avrebbe senso, ma inserita nel contesto giusto acquista il suo vero signicato. 7.2 udp L'header del pacchetto UDP e' molto piu' semplice di quello TCP, percio' molti campi non sono presenti, come ad esempio i ags (o CodeBits). Di conseguenza le estensioni caricate con l'opzone -p udp sono solamente -dport e -sport, utilizzate in modo analogo a quanto visto per -p tcp. # iptables -A INPUT -p udp -dport 80:90 -j ACCEPT In questo esempio un pacchetto udp con porta di destinazione compresa tra 80 e 90 prosegue nel Netlter. L'uso del! e' consentito. 7.3 icmp Per il protocollo ICMP (Internet Control Message Protocol), le cui estensioni sono caricate tramite l'opzione -p icmp, si puo' scrivere un criterio di selezione in base al tipo di pacchetto grazie a icmptype seguito dal tipo di servizio, il quale puo' essere il nome (ad esempio 'network-prohibited') o il tipo numerico o il tipo numerico piã 1 il codice separati da un '/' (ad esempio '3/3') -p icmp icmp-type nome_servizio -p icmp icmp-type valore_numerico_servizio[/codice]

22 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE 21 # iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT I pacchetti icmp di tipo "destination-unreachable" vengono accettati. Per una lista completa utilizzare 'iptables -p icmp -h' o si vedano le relative tabelle nella sezione Appendice C e D. 7.4 mac Questo modulo (e i successivi) si specica con -m mac (o match mac). E' usato per confrontare i pacchetti in arrivo da una sorgente con indirizzo MAC (indirizzo livello 2 ISO/OSI ovvero il MAC), ed à utilizzato per i pacchetti che attraversano le catene PREROUTING, FORWARD e INPUT. E' presente una sola opzione mac-source seguita in notazione esadecimale classica. -m mac -mac-source indirizzo_mac # iptables -A FORWARD -m mac -mac-source 00:C7:8F:72:14 -j ACCEPT Tramite questa regola, aggiunta in modalita' append alla catena FORWARD, i pacchetti aventi indirizzo mac 00:C7:8F:72:14 saranno inoltrati. L'uso del! e' consentito 7.5 limit Questo modulo si specifa con -m limit (o match limit) ed e' utilizzato per limitare il usso dei pacchetti nell'unita' di tempo. Il meccanismo per gestire il usso di pacchetti e' quello di un buer, nel quale quale vengono accettati tutti i pacchetti nche' non si esaurisce lo spazio. Se il buer e' pieno i pacchetti vengono scartati. Il buer si svuota ad una velocita' costante, la quale corrisponde al numero di confronti nell'unita' di tempo. L'opzione per controllare la dimensione di questo buer e' limit-burst, percio' limit-burst 20 impostera' la grandezza del buer pari a 20 pacchetti. L'opzione per controllare il numero di confronti nell'unita' di tempo e' limit. Si puã 2 specicare l'unitã usando: /s (/second), /m (/minute), /h (/hour) o /d (/day), quindi 5/second (equivalente a 5/s) imposta il limite di confronti a 5 al secondo o il buer verra' svuotato di 5 pacchetti al secondo. Con i valori default si ha che i primi 5 pacchetti sono accettati e lo svuotamento di un pacchetto avviene ogni 20 minuti, cioe' di 3 all'ora. -m limit limit numero/arco_di_tempo -m limit limit-burst valore_numerico # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT Tramite questo comando si accetta un pacchetto tcp che tenta di istaurare una nuova connessione al secondo, cioe' vengono limitati i tentativi di connessione. L'uso del! e' consentito per l'opzione limit-burst ed ha l'eetto di invertire la selezione ovvero accettare i pacchetti quando il serbatoio e' pieno.

23 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE owner Questo modulo presenta 4 opzioni e permette di confrontare alcune caratteristiche del pacchetto generato localmente e quindi valido solo nella catena OUTPUT. E' caricato tramite l'opzione -m owner. Le opzioni possibili sono uid-owner, gid-owner, pid-owner, sid-owner e cmd-owner. uid-owner seguito da un userid confronta se il pacchettto e' stato creato da un processo con lo userid indicato. gid-owner seguito da un groupid confronta se il pacchettto e' stato creato da un processo con il groupid indicato. pid-owner seguito da un processid e' vericato se il pacchettto e' stato creato da un processo con il processid (pid) indicato. sid-owner seguito da un sessionid confronta se il pacchettto e' stato creato da un processo con il sessionid specicato. cmd-owner seguito da un name à vericata dai pacchetti che sono stati creati da un processo il cui comando e' specicato da name. # iptables -I OUTPUT -p udp --dport! 53 -m owner --cmd-owner awstats -j DROP Tramite questa regola i pacchetti generati con il comando awstats non sono inoltrati all'esterno (escludendo query DNS che potrebbe fare per "reverse DNS lookup"). 7.7 state Con -m state state si puo' confrontare lo stato di un pacchetto con quello specicato. I possibili stati (NEW, ESTABLISHED, RELATED e INVALID) sono trattati nel paragrafo Connection Tracking. -m state state stato[,stato1...] # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT Grazie a questa regola si accettano tutti i pacchetti di una connessione gia' stabilita. 7.8 tos Tramite -m tos, seguito dal valore esadecimale corrispondente al servizio o dal nominativo di quest'ultimo, Il valore del campo TOS (Type Of Service) sara' confrontato con quello specicato. Il campo TOS del pacchetto ip indica il tipo di servizio. Per una lista di valori accettati si veda la tabella A. -m tos valore # iptables -A INPUT -m tos Maximize-Throughput -j DROP I pacchetti che hanno il campo TOS pari 0x8 sono scartati.

24 CHAPTER 7. ESTENSIONI DEI CRITERI DI SELEZIONE mark L'estensione -m mark seguita da un valore numerico ed eventualmente da una maschera permette di confrontare il valore numerico specicato con quello del pacchetto nel quale sia stato settato il campo mark tramite l'apposita azione (trattata nel paragrafo 7.6). L'azione viene intrapresa se il valore specicato ccorrisponde con quello del campo mark del pacchetto. Se la maschera viene specicata e' utilizzata per eseguira una AND con il valore numerico del pacchetto in binario e il risultato sara' utilizzato per il confronto. -m mark valore[/maschera] # iptables -A INPUT -m mark 5 -j DROP Vengono scartati i pacchetti che sono stati segnati tramite l'azione -j MARK con il valore ttl Tramite -m ttl si hanno tre opzioni: ttl-eq, ttl-gt, ttl-lt. verica se il campo dell'intestazione del pacchetto ip che indica il numero di hop (di router) che il pacchetto puo' attraversare conicide con un valore specicato. ttl-e ttl-gt ttl-lt qvalore_ttl verica se il valore del campo TTL del pacchetto ip, il quale indica il numero di hop (di router) che il paccheto puo' attraversare, e' uguale al valroe specicato. valore_ttl se TTL e' maggiore del valore indicato. valore_ttl se TTL e' minore del valore inserito. # iptables -A INPUT -m ttl --ttl-gt 5 -j ACCEPT Sono accettati i pacchetti aventi il campo TTL maggiore di multiport Per specicare piu' porte (al massimo una lista di 15) si usa -m multiport source-ports per le porte sorgenti o -m multiport destination-ports per le porte di destinazione. Per utilizzare questa estensione si deve aver specicato una selezione sul protocollo tcp o udp tramite l'opzione -p. Tramite -m multiport ports si richiede che la porta di destinazione e sorgente siano uguali a una di quelle specicate nella lista. # iptables -A traffico_out -p tcp -m multiport --dport 80,443 -j log_accept 7.12 unclean Questa opzione, ancora sperimentale, seleziona i pacchetti malformati o anomali. Viene specicata con -m unclean.

25 Chapter 8 Estensioni degli obbiettivi Come per i criteri di selezione esistono delle estensioni per le azioni. In particolare grazie ad alcune di queste estensioni sara' possibile anche specicare delle opzioniper le azioni. 8.1 REJECT Questa azione e' l'equivalente di DROP, ma invia un messaggio di errore. E' utilizzabile solo nelle catene INPUT, OUTPUT e FORWARD di tutte le tabelle. Questa azione abilita l'uso dell'opzione reject-with che permette di specicare il pacchetto inviato contenente il messaggio di errore. Di default e' impostato al valore icmp-port-unrecheable. Per sapere i possibili valori si veda la tabella B. -j REJECT [reject-with valore] # iptables -t nat -A PREROUTING -i eth0 -j REJECT --reject-with icmp-net-prohibited Tutti i pacchetti aventi interfaccia di entrata eth0 sono scartati mandando il pacchetto icmp netprohibited. 8.2 DNAT Tramite l'obbiettivo DNAT si eettua il Destination NAT (DNAT), ovvero si cambia arbitrariamente l'indirizzo ip di destinazione di un pacchetto in ingresso (ha senso se la macchina e' un default gateway). La regola di selezione viene vericata solo per il primo pacchetto di una connessione (vedi paragrafo Connection Tracking) e poi viene applicata per tutti gli altri pacchetti, cioe' se viene soddisfatta saranno modicati automaticamente gli indirizi di destinazione di tutti i pacchetti appartenenti a quella connessione e gli indirizzi sorgente di quelli ottenuti in risposta a questi, senza vericare nuovamente il criterio di selezione. In questo modo si cambia, in maniera trasparente per chi lo invia, la destinazione di un certo usso di dati.questa azione e' valida solo nelle catene PREROUTING e OUTPUT della tabella nat e ovviamente in quelle denite dall'utente, sempre appartenenti alla stessa tabella e dove il pacchetto viene passato da una delle due catene 24

26 CHAPTER 8. ESTENSIONI DEGLI OBBIETTIVI 25 predenite citate. Per specicare l'indirizzo di destinazione con il quale modicare i pacchetti si usa l'opzione to-destination seguita du uno o un range di indirizzi. Nel caso il pacchetto sia tcp o udp e' possibile specicare anche la porta o un range di porte, separato dall'indirizzo da ':'. Per specicare un range di indirizzi e porte si indicano gli estremi separati da '-'. Nel caso si specichi un intervallo (sia di indirizzi che di porte) verra' scelto a turno un valore nell'intervallo. -j DNAT to-destination indirizzo_ip -j DNAT to-destination indirizzo_ip:porta -j DNAT to-destination indirizzo_ip_minore-indirizzo_ip_maggiore -j DNAT to-destination indirizzo_ip:porta_minore-porta_maggiore # iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-destination : Questa regola modica l'indirizzo e la porta di destinazione dei pacchetti in entrata sull'interfaccia eth0, sostituendoli rispettivamente con uno dei valori compresi tra e per l'indirizzo e con uno compreso tra e 1920 per la porta. I pacchetti dopo essere stati modicati seguiranno il normale usso, quindi si consglia di porre attenzione alle succesive regole che agiranno su questi pacchetti, sui quali e' stato eettuato il DNAT. 8.3 REDIRECT Le catene a cui e' possibile applicare questa azione sono le stesse nelle quali viene eettuato il Destination NAT. REDIRECT modica automaticamente l'indirizzo di destinazione in modo che il pacchetto sia inviato alla macchina stessa. Nel caso il pacchetto utilizzi i pacchetti TCP o UDP e' possibile specicare la porta sulla quale inviare i pacchetti tramite l'opzione to-ports seguito dal numero della porta o dal range indicato tramite '-'. -j REDIRECT [to-ports numero_porta[-numero_porta1]] # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 Sostituisce la porta di destinazione dei pacchetti http (porta 80) con la SNAT Tramite l'azione SNAT e' possibile eettuare il Source NAT (SNAT), ovvero si cambia arbitrariamente l'indirizzo ip di sorgente di un pacchetto che soddis il criterio di selezione della regola, im modo che all'esterno tutti i pacchetti sembrino appartenere ad una sola connessione. Il Connection Tracking si occupera' autonomamente di sostituire gli indirizzi di destinazione dei pacchetti ricevuti in risposta a quelli inviati (modicati con il SNAT). Questo obbiettivo (o azione) e' lecito solo nella catena POSTROUTING della tabella nat. Per specicare il nuovo indirizzo sorgente si usa to-source, seguito dall'indirizzo ip e/o dalla porta. E' possibile specicare un range di indirizzi e di porte in maniera analoga a quanto visto per il DNAT.

27 CHAPTER 8. ESTENSIONI DEGLI OBBIETTIVI 26 -j SNAT to-source indirizzo_ip -j SNAT to-source indirizzo_ip:porta -j SNAT to-source indirizzo_ip_minore-indirizzo_ip_maggiore -j SNAT to-source indirizzo_ip:porta_minore-porta_maggiore # iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source E' modicato l'indirizzo sorgente dei pacchetti, in uscita dall'interfaccia ppp0, sostituendo l'indirizzo MASQUERADE MASQUERADE e' valida solo nella catena POSTROUTING della tabela nat. Solitamente viene utilizzata per condividere le connessioni ad internet (con un ip dinamico). Eettua il Source NAT in maniera automatica, ovvero senza specicare l'indirizzo ip da sostituire a quello sorgente del pacchetto (che soddis il relativo criterio di selezione). Quando la connessione cade cancella tutte le connessioni nella relativa tabella. Nel caso si specichi il tipo di protocollo tcp o udp tramite -p, e' possibile specicare una porta o un range di porte tramite to-ports, all'interno del quale sara' scelto progressivamente tale numero di porta. -j MASQUERADE [to-ports numero_porta[-numero_porta1]] # iptables -t nat -A POSTROUTING -j MASQUERADE Sara' sostituita la porta sorgente dei pacchetti in uscita dalla macchina, con valori scelti in maniera automatica. MASQUERADE va utilizzata solo per il motivo sopra indicato, altrimenti si consiglia di utilizzare l'azione SNAT. 8.6 MARK L'azione MARK, valida solo nella tabella mangle, permette di associare un valore ad un pacchetto in modo da ltrarlo successivamente tramite il criterio di selezione -m -mark (trattato nel capitolo precedente). Per impostare il valore si usa set-mark valore, doce valore sara' un numero. Tale valore rimarra' associato al pacchetto solo all'interno del kernel, cioe' non sara' disponibile sulle altre macchine. -j MARK set-mark 5 # iptables -t mangle -A PREROUTING -j MARK --set-mark 5 Tramite questa regola setto un valore pari a 5 per i pacchetti transitanti nella catena PREROUT- ING.

28 CHAPTER 8. ESTENSIONI DEGLI OBBIETTIVI TOS L'azione TOS, valida solo nella tabella mangle, permette di cambiare il valore del campo Type Of Service del pacchetto ip con un valore specicato dopo l'opzione set-tos. Questo valore puo' essere un valore esadecimale o il corrispondente identicativo. I possibili valori si trovano nella tabella A. -j TOS set-tos valore # iptables -A PREROUTING -t mangle -p tcp --sport 22 -j TOS --set-tos Minimize-Delay Si setta il valore TOS dei pacchetti ssh in entrata in modo da ottimizzare questo tipo di connessione. 8.8 TTL Anche questa azione e' valida solo nella tabella mangle e permette di impostare arbitrariamente il valore del campo Time To Live. Le tre opzioni messe a disposizione dall'azione TTL sono: ttl-set, ttl-dec e ttl-inc. ttl-set ttl-dec ttl-inc seguito da un valore numerico imposta il TTL dei pacchetti selezionati. decrementa il valore il TTL dei pacchetti selezionati del valore specicato. permette di incrementare il valore del TTL dei pacchetti selezionati del valore specicato (evita il rilevamento del rewall, nel caso fosse in una macchina dedicata, da programmi quali traceroute). # iptables -t mangle -A FORWARD -j TTL --ttl-inc Viene decrementato il valore del campo TTL dei pacchetti che attraversano la nostra macchina per raggiungere un'altra destinazione (non faccio rilevare la presenza del rewall). 8.9 LOG Questa azione abilita il logging dei pacchetti selezionati. Una regola con criterio di selezione che usi questa azione come target non termina la scansione della catena, che proseguira' alla regola successiva. Per questo se si vuole eseguire il logging di pacchetti che poi si desidera scartare occorre sempre usare una azione di LOG prima di quella di DROP. Con l'uso di questa azione vengono abilitate una serie di opzioni: log-level, log-prex, log-tcp-sequence, log-tcp-options, log-ipoptions. log-level seguito da un valore, imposta la priorita' dei messaggi di log pari a valore.possiamo specicare un nome del livello tra quelli disponibili nel sistema syslogd (debug, info, notice, warning, err, crit, alert), il risultato sara' scritto nel le di log associato. log-prex "STRINGA" permette di aggiungere una stringa in testa ai messaggi di log. log-tcp-sequence inserisce nei log il numero di sequenza dei pacchetti TCP.

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

TCP e UDP, firewall e NAT

TCP e UDP, firewall e NAT Università di Verona, Facoltà di Scienze MM.FF.NN. Insegnamento di Reti di Calcolatori TCP e UDP, firewall e NAT Davide Quaglia Scopo di questa esercitazione è: 1) utilizzare Wireshark per studiare il

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

Iptables. Mauro Piccolo piccolo@di.unito.it

Iptables. Mauro Piccolo piccolo@di.unito.it Iptables Mauro Piccolo piccolo@di.unito.it Iptables Iptables e' utilizzato per compilare, mantenere ed ispezionare le tabelle di instradamento nel kernel di Linux La configurazione di iptables e' molto

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Netfilter: utilizzo di iptables per

Netfilter: utilizzo di iptables per Netfilter: utilizzo di iptables per intercettare e manipolare i pacchetti di rete Giacomo Strangolino Sincrotrone Trieste http://www.giacomos.it delleceste@gmail.com Sicurezza delle reti informatiche Primi

Dettagli

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28 Viene proposto uno script, personalizzabile, utilizzabile in un firewall Linux con 3 interfacce: esterna, DMZ e interna. Contiene degli esempi per gestire VPN IpSec e PPTP sia fra il server stesso su gira

Dettagli

Corso avanzato di Reti e sicurezza informatica

Corso avanzato di Reti e sicurezza informatica Corso avanzato di Reti e sicurezza informatica http://www.glugto.org/ GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 1 DISCLAIMER L'insegnante e l'intera associazione GlugTo non si assumono

Dettagli

FIREWALL iptables V1.1 del 18/03/2013

FIREWALL iptables V1.1 del 18/03/2013 FIREWALL iptables V1.1 del 18/03/2013 1/18 Copyright 2013 Dott.Ing. Ivan Ferrazzi Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License,

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Marco Papa (marco@netstudent.polito.it) NetStudent Politecnico di Torino 04 Giugno 2009 Marco (NetStudent) Firewalling in GNU/Linux

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

Filtraggio del traffico di rete

Filtraggio del traffico di rete Laboratorio di Amministrazione di Sistemi L-A Filtraggio del traffico di rete Si ringraziano sentitamente: Angelo Neri (CINECA) per il materiale sulla classificazione, le architetture ed i principi di

Dettagli

Proteggere la rete: tecnologie

Proteggere la rete: tecnologie Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Proteggere la rete: tecnologie Alessandro Reina Aristide Fattori

Dettagli

Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables.

Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables. Sommario Firewall con iptables Fabio Trabucchi - Giordano Fracasso 5 Febbraio 2005 Diario delle revisioni Revisione 0.2 7 Febbraio 2005 fabio.trabucchi@studenti.unipr.it giordano.fracasso@studenti.unipr.it

Dettagli

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Il sistema operativo multifunzionale creato da Fulvio Ricciardi www.zeroshell.net lan + dmz + internet ( Autore: massimo.giaimo@sibtonline.net

Dettagli

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti esercizi su sicurezza delle reti 20062008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti 1 supponi i fw siano linux con iptables dai una matrice di accesso che esprima la policy qui descritta

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

Transparent Firewall

Transparent Firewall Transparent Firewall Dallavalle A. Dallavalle F. Sozzi 18 Febbraio 2006 In un sistema operativo Linux con un kernel aggiornato alla versione 2.6.x è possibile realizzare un transparent firewall utilizzando

Dettagli

User. Group Introduzione ai firewall con Linux

User. Group Introduzione ai firewall con Linux Introduzione ai firewalls Mauro Barattin e Oriano Chiaradia Introduzione Introduzione ai firewall Perché proteggersi Cosa proteggere con un firewall Approcci pratici alla sicurezza Definizione di firewall

Dettagli

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Cosa si intende per sicurezza di rete Accesso a sistemi, servizi e risorse solo da e a persone autorizzate Evitare di essere

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Seconda esercitazione Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Test di connettività ping traceroute Test del DNS nslookup

Dettagli

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall IPFW su Linux Sommario Corso di Sicurezza su Reti prof. Alfredo De Santis Anno accademico 2001/2002 De Nicola Dario 56/100081 Milano Antonino 56/01039 Mirra Massimo 56/100382 Nardiello Teresa Eleonora

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Problematiche di Sicurezza in Ambiente Linux

Problematiche di Sicurezza in Ambiente Linux ALESSIA CIRAUDO Problematiche di Sicurezza in Ambiente Linux Progetto Bari-Catania: Buone Prassi Integrative tra Università e Impresa FlashC om Durata: 2 mesi Tutor aziendale: Vincenzo Mosca Collaboratore

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Firewall: concetti di base

Firewall: concetti di base : concetti di base Alberto Ferrante OSLab & ALaRI, Facoltà d informatica, USI ferrante@alari.ch 4 giugno 2009 A. Ferrante : concetti di base 1 / 21 Sommario A. Ferrante : concetti di base 2 / 21 A. Ferrante

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI) Reti Architettura a livelli (modello OSI) Prevede sette livelli: applicazione, presentazione, sessione, trasporto, rete, collegamento dei dati (datalink), fisico. TCP/IP: si può analizzare in maniera analoga

Dettagli

$ /sbin/lsmod. gusto...

$ /sbin/lsmod. gusto... Iptables per tutti Analizziamo come utilizzare al massimo il firewall del kernel 2.4 e come munirci dell'indispensabile per affrontare l'etere telematico in piena sicurezza. Una guida pratica alla portata

Dettagli

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico IP e subnetting Ip IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico come nel caso del MAC Address) una

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando Comandi di Rete Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando PING: verifica la comunicazione tra due pc Il comando ping consente di verificare la connettività a livello

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Lo strato di trasporto Firewall e NAT

Lo strato di trasporto Firewall e NAT Lo strato di trasporto Firewall e NAT A.A. 2009/2010 Walter Cerroni Il livello di trasporto in Internet APP. collegamento logico tra i processi applicativi APP. TCP UDP collegamento logico tra i due host

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com Besnate, 24 Ottobre 2009 Oltre il Firewall Autore: Gianluca pipex08@gmail.com Cos'è un firewall i FIREWALL sono i semafori del traffico di rete del nostro PC Stabiliscono le regole per i pacchetti che

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica Dipartimento di Informatica - Università di Verona Laboratorio di Networking Operating Systems Lezione 2 Principali strumenti di diagnostica Master in progettazione e gestione di sistemi di rete edizione

Dettagli

IP Internet Protocol

IP Internet Protocol IP Internet Protocol Vittorio Maniezzo Università di Bologna Vittorio Maniezzo Università di Bologna 13 IP - 1/20 IP IP è un protocollo a datagrammi In spedizione: Riceve i dati dal livello trasporto e

Dettagli

Progettare un Firewall

Progettare un Firewall Progettare un Firewall Danilo Demarchi danilo@cuneo.linux.it GLUG Cuneo Corso Sicurezza 2006 Concetti introduttivi Come pensare un Firewall Argomenti trattati I Gli strumenti del Firewall Gli strumenti

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

Gli indirizzi dell Internet Protocol. IP Address

Gli indirizzi dell Internet Protocol. IP Address Gli indirizzi dell Internet Protocol IP Address Il protocollo IP Prevalente è ormai diventato nell implementazione di reti di computer la tecnologia sintetizzata nei protocolli TCP- Ip IP è un protocollo

Dettagli

Guida all impostazione. Eureka Web

Guida all impostazione. Eureka Web Eureka Web Guida all impostazione Maggio 2015 1 IMPOSTAZIONE EUREKA WEB Accedere con un browser all EurekaWeb, per default l indirizzo ip è 192.168.25.101, utente : master password : master. Ad accesso

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

Sicurezza nelle Reti Prova d esame Laboratorio

Sicurezza nelle Reti Prova d esame Laboratorio Sicurezza nelle Reti Prova d esame Laboratorio 1 Testo d esame Scopo dell esercitazione: simulazione di esame pratico Esercizio 1 Considerando la traccia test1.lpc, il candidato esegua: Lezioni di laboratorio

Dettagli

Kernel Linux 2.4: firewall 1985

Kernel Linux 2.4: firewall 1985 Kernel Linux 2.4: firewall 1985 Mark Grennan, Firewalling and Proxy Server HOWTO Peter Bieringer, Linux IPv6 HOWTO

Dettagli

Reti di Calcolatori. Il software

Reti di Calcolatori. Il software Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Protocollo IP e collegati

Protocollo IP e collegati Protocollo IP e collegati Argomenti trattati: formato del pacchetto IP; servizi del protocollo IP; formato degli indirizzi; instradamento dei datagrammi; classi di indirizzi A, B, C, D; indirizzi speciali,

Dettagli

Assegnazione di indirizzi IP dinamica (DHCP) 1

Assegnazione di indirizzi IP dinamica (DHCP) 1 Assegnazione di indirizzi IP dinamica (DHCP) 1 Esempio 1 L'esempio mostra una semplice rete con un solo switch centrale e due dispositivi (un PC ed un router) non aventi sulla loro interfaccia verso la

Dettagli

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL Docente: Barbara Masucci Vedremo Cosa sono i Firewall Cosa fanno i Firewall Tipi di Firewall Due casi pratici: 1. IPCHAIN Per Linux 2. ZONE ALARM Per Windows 1 2 Introduzione Perché un Firewall? Oggi esistono

Dettagli

IP forwarding Firewall e NAT

IP forwarding Firewall e NAT IP forwarding Firewall e NAT A.A. 2004/2005 Walter Cerroni IP forwarding Linux può funzionare da gateway tra due o più reti IP host1 host2 linux-gw 192.168.11.0/24 192.168.10.0/24 Il kernel deve essere

Dettagli

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3 ver 2.0 Log Manager Quick Start Guide 1 Connessione dell apparato 2 2 Prima configurazione 2 2.1 Impostazioni di fabbrica 2 2.2 Configurazione indirizzo IP e gateway 3 2.3 Configurazione DNS e Nome Host

Dettagli

Petra Firewall 3.1. Guida Utente

Petra Firewall 3.1. Guida Utente Petra Firewall 3.1 Guida Utente Petra Firewall 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright.

Dettagli

Innanzitutto, esistono diversi modi per realizzare una rete o più reti messe insieme; vi illustro la mia soluzione :

Innanzitutto, esistono diversi modi per realizzare una rete o più reti messe insieme; vi illustro la mia soluzione : SALVE, Scrivo questo breve testo di delucidazioni a seguito di alcune richieste.. e per permettere a tutti di usare al meglio zeroshell per quanto riguarda i sistemi di video sorveglianza; é mia intenzione

Dettagli

Internet. Introduzione alle comunicazioni tra computer

Internet. Introduzione alle comunicazioni tra computer Internet Introduzione alle comunicazioni tra computer Attenzione! Quella che segue è un introduzione estremamente generica che ha il solo scopo di dare un idea sommaria di alcuni concetti alla base di

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

Apparecchiature di Rete

Apparecchiature di Rete All interno delle reti troviamo delle apparecchiature, utilizzate per gestire le trasmissioni tra gli elementi della rete e per creare interconnessioni tra reti differenti Livello 7 Livello 6 Livello 5

Dettagli

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività 1 MSACK::Hacklab msack.c4occupata.org In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX Imparare a NATTARE la connetività Configurare la nostra piccola workstation come

Dettagli

Lezione Lab 1: Packet Filtering: Netfilter & IPTABLES

Lezione Lab 1: Packet Filtering: Netfilter & IPTABLES Lezione Lab 1: Packet Filtering: Netfilter & IPTABLES Marco Anisetti, Filippo Gaudenzi, Patrizio Tufarolo, Claudio Ardagna Università degli Studi di Milano Insegnamento di Introduzione In questa lezione

Dettagli

Internet, così come ogni altra rete di calcolatori possiamo vederla suddivisa nei seguenti componenti:

Internet, così come ogni altra rete di calcolatori possiamo vederla suddivisa nei seguenti componenti: Pagina 1 di 8 Struttura di Internet ed il livello rete Indice Struttura delle reti Estremità della rete Il nucleo della rete Reti a commutazione di pacchetto e reti a commutazione di circuito Funzionalità

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità ping traceroute netstat Test del DNS nslookup

Dettagli

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy Firewall Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy preparata da: Cataldo Basile (cataldo.basile@polito.it) Andrea Atzeni (shocked@polito.it)

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

5. Traduzione degli indirizzi di rete in indirizzi fisici: ARP

5. Traduzione degli indirizzi di rete in indirizzi fisici: ARP 5. Traduzione degli indirizzi di rete in indirizzi fisici: ARP 5.1. Introduzione Due macchine si parlano solo se conoscono l'indirizzo fisico di sottorete Due applicazioni si parlano solo se conoscono

Dettagli

Pronti via! ETHERNET NS - CJ1

Pronti via! ETHERNET NS - CJ1 PV_0001 Rev. A Pronti via! ETHERNET NS - CJ1 Pronti via! "Pronti... via!" è una raccolta di informazioni interattive, che permette una consultazione rapida delle principali informazioni necessarie all'utilizzo

Dettagli

Firewall e VPN con GNU/Linux

Firewall e VPN con GNU/Linux Firewall e VPN con GNU/Linux Simone Piccardi piccardi@truelite.it Truelite Srl http://www.truelite.it info@truelite.it ii Firewall e VPN con GNU/Linux Prima edizione Copyright c 2003-2014 Simone Piccardi

Dettagli

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Soluzioni dell esercitazione n. 2 a cura di Giacomo Costantini 19 marzo 2014

Dettagli

Petra VPN 3.1. Guida Utente

Petra VPN 3.1. Guida Utente Petra VPN 3.1 Guida Utente Petra VPN 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti

Dettagli

Il Mondo delle Intranet

Il Mondo delle Intranet Politecnico di Milano Advanced Network Technologies Laboratory Il Mondo delle Intranet Network Address Translation (NAT) Virtual Private Networks (VPN) Reti Private e Intranet EG sottorete IG IG rete IG

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Firewall e VPN con GNU/Linux

Firewall e VPN con GNU/Linux Firewall e VPN con GNU/Linux Simone Piccardi piccardi@truelite.it Truelite Srl http://www.truelite.it info@truelite.it ii Copyright c 2003-2004 Simone Piccardi & Truelite S.r.l. Permission is granted to

Dettagli

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)... Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...1 1 INDICE...ERROR! BOOKMARK NOT DEFINED. 2 INTRODUZIONE...2 3 COSA VI SERVE

Dettagli

CAPITOLO 1 PANORAMICA SUI PROBLEMI DI SICUREZZA

CAPITOLO 1 PANORAMICA SUI PROBLEMI DI SICUREZZA INTRODUZIONE INTRODUZIONE Quando un PC è connesso ad internet esso diventa, a tutti gli effetti, un nodo della rete. Il sistema connesso, può esporre dei servizi di rete, cioè delle applicazioni che hanno

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

CREA IL TUO SERVER CASALINGO

CREA IL TUO SERVER CASALINGO LINUX DAY 2008 PESCARALUG CREA IL TUO SERVER CASALINGO sottotitolo: FAI RIVIVERE IL TUO BANDONE GRAZIE A LINUX DUE DESTINI POSSIBILI: 1) Se avete hardware vecchio e/o rotto e volete liberarvene, telefonate

Dettagli

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it Corso GNU/Linux - Lezione 5 Davide Giunchi - davidegiunchi@libero.it Reti - Protocollo TCP/IP I pacchetti di dati vengono trasmessi e ricevuti in base a delle regole definite da un protocollo di comunicazione.

Dettagli