TRADUZIONE DA INGLESE A ITALIANO DELLA GUIDA DI AMMINISTRAZIONE DI SMOOTHWALL EXPRESS 2.0 by kjamrio9 1/30
Il prodotto è sotto licenza GPL (Gnu Public License) e Open Source Software, per semplicità non riporto la traduzione di essa. 2. Configurazione SmoothWall Express 2.1. Connettersi a SmoothWall Express 2.2. Formato pagina 2.3. Gruppo pagine di controllo 2.3.1. Prima pagina 2.3.2. Pagina dei ringraziamenti 2.4. Le tue pagine di SmoothWall 2.4.1. Stato 2.4.2. Avanzate 2.4.3. Grafico del traffico 2.5. Servizi 2.5.1. Server Proxy Web 2.5.2. Server DHCP 2.5.3. DNS dinamico 2.5.4. Sistema di riconoscimento intrusioni 2.5.5. Accesso remoto 2.5.6. Tempo 2.6. Rete 2.1. Port forwarding 2.2. Accesso a servizi External 2.3. DMZ 2.4. PPP 2.5. IP Block 2.6. Avanzato 2.7. VPN 2.7.1. Controllo VPN 2.7.2. Connessioni VPN 2.8. Visualizzatori file di log 2.8.1. Visualizzatore di file di log di sistema 2.8.2. Visualizzatore di file di log del Web Proxy 2.8.3. Visualizzatore del log del firewall 2.8.4. Visualizzatore file di lof del sistema di riconoscimento intrusioni 2.9. Strumenti 2.9.1. Pagina delle informazioni IP 2.9.2. Strumenti per l IP (Ping e Traceroute) 2.9.3. Shell sicura 2/30
2.10. Manutenzione 2.10.1. Aggiornamenti 2.10.2. Configurazione modem 2.10.3. Alcatel Speedtouch USB ADSL Modem Firmware Upload 2.10.4. Schermo configurazione password 2.10.5. Backup 2.10.6. Spegnimento La sezione contiene informazioni sulla configurazione post-installazione di SmoothWall Express. Si presuppone che se stai leggendo questo hai installato SmoothWall. Usando una interfaccia browser da una seconda macchina sulla tua Lan, puoi adesso effettuare qualsiasi configurazione di post-istallazione e manutenzione del sistema del tuo sistema SmootWall. L interfaccia browser va testata con IR e Netscape 4 e su varie piattaforme diverse. Se durante l istallazione il server DHCP di SmoothWall Express è stato abilitato allora sarà automaticamente assegnato un indirizzo IP a ciascun computer client connesso alla rete locale (GREEN). Potrà essere necessario riavviare i computer client in ordine per ricevere il loro indirizzo IP. Se DHCO non è stato abilitato durante l istallazione sarà necessario configurare SmoothWall Express usando un pc con un indirizzo IP statico, o utilizzare un separato server DHCP per provvedere all indirizzo IP. Avvia un browser Web e stabilire una connessione con SmoothWall. Normalmente tu dovresti usare una connessione HTTPS. Inserisci o o l hostname o l indirizzo IP di SmoothWall Express in campo indirizzo del browser, con : e la porta numero 441. La porta 445 era usata precedentemente della versione 2.0 di SmoothWall Express ma ora è cambiata a 441 per evitare possibili conflitti con i recenti versioni di Microsoft che usano la 445 per la condivisione di file e stampanti. Per esempio, se il tuo indirizzo di default p 192.168.0.1 è stato usato per SmoothWall Express allora digita : https://192.168.0.2:441 o https://smoothwall:441 Come questo e un connessione https criptata, expect un certificato di sicurezza come quello mostrato sotto. 3/30
Certificato di sicurezza Alternativamente puoi usare HTTP non criptato, digitando : 192.168.0.1:81 o http://smoothwall:81 Ancora, nota il numero della porta non standard usata per facilitare il port forwarding delle porte comunemente usate e anche incrementare la sicurezza come a effetto side. 2.2 Formato pagina Tu dovresti adesso essere presentato con la pagina di controllo di SmoothWall Express. Nell evento che questo non sarà visualizzato tu non puoi accedere al sistema di SmoothWall Express. La maggior parte dei prolemi è un errore nella configurazione della rete locale. Per favore, riferire all appendice B per informazione sulla risoluzione dei problemi. Una barra di navigazione è visualizzata sopra tutte le configurazioni individuali, informazioni, controllo e pagina di aiuto. La barra è presentata nella form di 2 righe orizzontali o collegamenti. Clicca sul collegamento appropriato e seleziona il gruppo della pagina richiesto, per esempio your Smoothie, Networking, ecc. Le pagine di configurazione sono raggruppate nei seguenti gruppi : Control : Ritorna alla home page. About your Smoothie : visualizza informazioni di stato, grafici traffico rete e statistiche della rete. 4/30
Services : configura il seerver proxy, il server DHCP, supporto DNS dinamico, DNS statico, abilita, il Sistema di Riconoscimento Intrusioni, abilita SSH e imposta il tempo di sistema. Networking : configura instradamento porte, Accesso ai servizi da esterno, DMZ e PPP. VPN : controlli e configurazione base della VPN. LOGS : Visualizza un gran numero di file di log, includendo PPP, ISND, IPSec, Web Proxy, Firewall e Sistema di Riconoscimento Intrusioni. Strumenti : Esegui comandi di Pung e traceroute, esegui Whois per trovare informazioni sugli indirizzi IP o nome dei domini e attivare la connessione SSH dal pc al SmoothWall Express. Manutenzione : Applica aggiornamento a SmoothWall Express, backup della configurazione di SmoothWall Express e aggiorna Alcatel USB DSL modem firmware e cambia admin e dial password. Shutdown : Spegne e riavvia il sistema SmoothWall Express. Help : Aiuto in linea con SmoothWall Express. 2.3 Gruppo pagine di controllo Il gruppo di pagine di controllo di SmoothWall Express consiste in appena due pagine, home page, e una pagina dei ringraziamenti. 2.3.1 Home Page La home page visualizza lo stato delle connessioni correnti e permette alle connessioni di essere chiuse, cambiate e aperte. Sotto al pannello principale, gli stati dei correnti profili di configurazione Dial-up selezionati. 5/30
Questo non mostra se sei connesso via Ethernet, usando un IP statico o DHCP. Smoothwall permette chiunque differenti profili da essere reati e configurati. Ci sono tre tipi di bottoni di controllo connessione. Il pulsante di Connect abilita il tuo dial e stabilisce una connessione in internet, Disconnet disconnette la corrente connessione internet e Refresh rivisualizza le informazioni stato della connessione. Sotto c è lo stato di aggiornamento di SmoothWall. 2.3.2 Pagina dei crediti La pagina dei ringraziamenti mostra le informazioni su Smoothwall Express. 2.4 Pagine sul tuo Smoothie Due pagine sono accessibili da qui : Stato e grafico del traffico 2.4.1 Stati Questa pagina ti permette di vedere i servizi della rete disponibili sul sistema SmoothWall. 2.4.2 Avanzato Questa pagina contiene informazioni riguardanti l uso delle risorse del sistema (Memoria ram, Memoria hard disk, i-node usati, utenti, interfacce, routine, moduli cariati, versione del kernel). 2.4.2 Grafico del traffico 6/30
La pagina del grafico del traffico mostra l utilizzo della rete nelle varie interfacce. 2.5 Servizi Sei pagine sono accessibili da servizi, e sono Web Prozy, DHCP, Dynamic dns, instrusion detection system, remote access e time. 2.5.2 Server Proxy Web La schermata ti permette di abilitare o disabilitare il server proxy. Imposta Cache Size per regolare l ammontare dello spazio del disco riservato al sistema SmoothWall Express che il proxy Server può usare. Il proxy Server gestisce le richieste Web (http) e ftp. La cache deve essere commisurata alle risorse disponibili. È possibile usare un Proxy Server remoto, inserendo il suo indirizzo IP nella casella appropriata (Remote Proxy), in caso ci si deve autentificare. Inserire in Remote Proxy Usarname e Remote Proxy Password i rispettivi dati. Max Object Size e Min Object Size permette di impostare la dimensione massima e minima degli oggetti da salvare nella cache, per default isi può memorizzare un file massimo di 4 Mbytes. Max Outgoing Size permette di impostare la dimensione massima che è un browser può inviare. Questo per evitare che un singolo host possa usare tutta la banda internet. La funzione Transparent permette di evitare il fastidio di configurare tutti i client per l utilizzo del proxy server,perché tutte le richieste verranno ridirette alla cache del sistema SmoothWall Express. In questo caso, è possibile fermare clienti dalla navigazione senza andare a modificare il Proxy 7/30
Server. Se la modalità trasparente non è abilitare, allora per usare il proxy server devi configurare i browser sulla porta 800 invece di 80. Se la casella Enabled è spuntata allora il Proxy Server verrà attivato automaticamente. Premendo il pulsante Save, si salverà la configurazione impostata, e riavviare il sistema per renderela effettiva. 2.5.2 DHCP La schermata di configurazione di DHCP (Dinamic Host Configuration Protocol) ti permette di configurare e abilitare o disabilitare il server DHCP che è in SmoothWall Express. Grazie al metodo semplici di provvedere alla divisione della connessione internet in una rete di macchine usando il TCP/IP, è permesso dal tuo sistema SmoothWall per far si che il server DHCP provveda all informazioni necessarie della rete per i client della tua rete. In ordine per fare questo, tu avrai bisogno di definire un intervallo di indirizzi IP che possono essere usati dalle macchine nel resto della rete. Il Start Address deve contenere il primo IP che SmoothWall offrirà ai suoi clienti. C è bisogno per il Start Address di essere consecutivo con l indirizzo di SmoothWall Express. E prime tre parti dell indirizzo IP devono normalmente essere le stese come al sistema SmoothWall, per esempio 192.168.0. Il End Address indica l estremo finale dell intervallo. Se l indirizzo do SmoothWall è 192.160.0.1, il Start Address deve essere 192.168.0.2. 8/30
Primary Dns contiene di default l indirizzo della macchina SmoothWall Express,, ma per qualunque ragione può essere cambiato senza problemi. Il Secondary Dns contiene l indirizzo di un eventuale secondo server Dns. Se i client windows usano un server WINS per gestire gli indirizzi, si può specificare nei campi Primary Wins e Secondary Wins il primario e secondario server Wins. Il Default Lease Time e il Maximum Lease Time (in minuti) è il tempo minimo e massimo in cui un client può retain un indirizzo IP ricevuto da un DHCP server. A tempo scaduto il client richiede il servizio. Il Domain Name Suffix ti permette di definire il dominio dei nome che potranno essere dati ai sistemi richiedenti un indirizzo IP, altrimenti per la maggior parte delle reti questo campo può essere bianco. La casella Enabled se spuntata, al prossimo avvio abiliterà il server DHCP nella rete locale. Nella rete ce ne deve essere solo uno di server DHCP, altrimenti si creerebbe conflitto tra i due server. La sezione Add A New Static Assignement è usata per allocare indirizzi IP fissi per client nominati. Ti servirò l indirizzo MAC della scheda di rete, e questo sarà utile se tu vuoi che un certo utente abbia sempre lo stesso indirizzo IP, come se tu lo avessi configurato con un IP statico. Per fare ciò determina l indirizzo MAC nei seguenti modi : Linux : ifconfig Dos : IPCONFIG /ALL Windows : winipcfg Inserisci l indirizzo di MAC nel campo MAC Address e l indirizzo ip da assegnare nel campo IP Address. L indirizzo MAC è composto da dodici caratteri esadecimali, cioè 6 byte, per esempio 34 56 78 9A BC Ciccare sul pulsante Add e l indirizzo MAC e IP saranno visualizzati nella sezione Current Static Assignments sottostante. In ordine di modifica un IP statico esistente assegnato, clicca sulla casella Mark per selezionare la riga con l indirizzo MAC e IP e ciccare su Edit per modificarlo o su Remove per eliminarlo. Non inserire un assegnazione statica dove l indirizzo IP lies con l intervallo dell allocazione dinamica specificata dallo Start Address e l End Address. Come con tutte le pagine di configurazione, tu dei ciccare sul pulsante salva prima di uscire. 2.5.3 Dns Dinamico La pagina di configurazione del Dns Dinamico permette a SmoothWall di essere usato con servizi di DNS Dinamico. Questi servizi sono per gli utenti internet che non hanno un indirizzo IP statico, tipicamente modem, ISDN. pag 22 Un servizio di DNS Dinamico associato a un sotto dominio con un indirizzo IP dinamico (per esempio DHCP), per esempio mionome.dyndns.org. Questo nome di dominio può allora essere risolto con un indirizzo IP da un server DNS nel modo normal. Tutto quello che bisogna to happen per questo lavoro è che il provider del servizio DNS Dinamico necessita di essere informato ogni 9/30
volta che il tuo indirizzo IP dinamico cambia. SmoothWall può fare questo per tutti i maggiori provider di servizi DNS Dinamico, viz : dyndns.org, no-ip.com, h.org, dhs.org e dyns.cx. Questo fa che è possibile connettere ai servizi come ad una pagina web o email che è behind SmoothWall Express, usando l URLs come www.mysmoothwall.dyndns.org/index.html. Il primo controllo nella sezione Add A Host è Service, seleziona dalla lista il provider di servizio DNS Dinamico che tu stai usando. Before tu puoi usare questo facilmente, tu puoi registrare con un dei provider di servizio DNS Dinamico supportati da SmoothWall Express. Il livello base del servizio è normalmente gratis o charge. La registrazione è normalmente via Web, per esempio www.dyndns.org,, www.no-ip.com, www.hh.org, www.dhs.org e www.dyns.cz. Noi incoraggiamo gli utenti a fare donazioni per il servizio offerto. L Hostname dove essere completato con il nome dell host che tu registri al provider. Il Domin ti permette di inserire quale dei domini dei provider hai scelto -la schermata illustrata above mostra insieme i domini dyndns.org e dyndns.org dei provesti da www.dundns.org. Se, per esempio, tu registri un host name di mionome.homedns.org allora digita mionome nel Hostname e homedns.org in Domain. La casella Behind A Proxy deve essere spuntata se tu stati usando no-ip.com come provider e SmoothWall Express è settato Behind A Proxy Server. Di default non è spuntato. La casella Enable Windcards ti permette di avere tutti i sottodomini del tuo hostname dns dinamico puntando ad alcuni IP come tuoi hostname (per esempio questo Enable Wilcards abilitato, www.mysmoothwall.dyndns.org punterà ad alucni IP come smoothwall.dyndsn.org). Questa casellanon lavora con no-ip.com, come loro permettono questa funzione da esere attivata o disattivata direttamente dal sito web. 10/30
Come standard, la casella Enabled è segnata, cioè l host DNS Dynamic sarà attivo e aggiornato ogni volta che SmoothWall Express alloca un nuovo indirizzo. Se tu vuoi creare un nuovo host ma non lo hai abilitato, allora deseleziona la casella Enabled. Per esempio, se tu vuoi keep le informazioni per uno dei tuoi Hostname Dns Dinamico salvati ma vuoi evitare avendo il tuo IP aggiornato da esso, allora non abilitarlo. Comunque, fai attenzione che il provider DNS potrebbe disabilitare l Hostname che non è stato aggiornato con il nuovo indirizzo IP, say nell ultimo thirty giorni. Usato o perso? Clicca sul pulsante Add e le informazioni saranno trasferite alla sotto sezione Host Corrente. Se cliccare su Mark potrete selezionare le righe e così decidere se modificarle tramite il tasto Edit o se eliminarle con Remove. Il pulsante Force Update forza un aggiornamento degli indirizzi IP dinamici correnti di SmoothWall Express per tutti i nomi degli host abilitati. Non usarlo troppo spesso, come provider non mi piacciono le persone che aggiornano il loro IP quando non è cambiato loro potrebbero considerare che tu sei un utente abusivo a blocchi i tuoi hostname. In futuro, non avrai bisogno di Force Update come il tuo IP automaticamente sarà aggiornato ciascuna volta che l IP cambierà, evitandoti sempre di essere abile a trovare il tuo SmoothWall Express e i servizi e i server behind it. 2.5.4 Sistema di riconoscimento Intrusioni (IDS) La pagina del Sistema di riconoscimento Intrusioni permette all amministratore di abilitare e mantenere il Sistema di riconoscimento Intrusioni snort. il Sistema di riconoscimento Intrusioni snort riconosce attività maliziose comparando il traffico passante attraverso l interfaccia RED con un insieme di predefinite signatures. Queste descriveranno tipicamente una sequenza di pacchetti associati con un particolare threat, come un port scan. Qualsiasi attività che combacia con una delle sarà memorizzata nel logf del firewall come un pacchetto individuale entrante e come una entrata singola analizzato dal file di log del IDS. La casella Snort è usata per attivare o disabilitare il software di riconoscimento intrusioni snort. Clicca sul pulsante Save per salvare le modifiche. L output del IDS può essere visualizzato alla pagina del Sistema di riconoscimento Intrusioni nel gruppo della pagina dei Logs. 2.5.2 Accesso Remoto (SSH) 11/30
La pagina del ssh configura come SmoothWall Express può essere acceduto per scopi di configurazione e manutenzione. La casella SSH abilita o disabilita il supporto della shell di sicurezza di Smoothwall. Normalmente, questo è disabilitato e dovrebbe solo essere abilitato se tu hai bisogno di accedere al sistema SmoothWall da oltre postazioni che sono direttamente collegate al video e tastiera. In ordine di log nel tuo sistema SmoothWall remotamente per qualsiasi ragione (come ad esempio, per riconfigurare e impostare a causa dell aggiunta di nuovo hardware) tu avrai abilitato il server SSH. Questo prevede un livello di sicurezza alto per l accesso remoto al tuo sistema, come il transito di dati criptati. Se non hai un client SSH, puoi fare uso di queste funzionalità attivando il servizio e avendo un browser che supporta Java. La casella Allow Admin Access Only From Valid Referral URLs era introdotta per evitare un rischio di sicurezza teorico. Il rischio è che qualcuno costruisce una pagina web con un pulsante che collegherà al tuo SmoothWall Express e eseguirà azioni dolose. Per questo essere sicuri del rischio sarebbe necessario avere pronte firme nei browser windows come l utente Admin di SmoothWall Express. Quando un browser manda informazioni include entrambi gli URL richiesti e il corrente URLspuntando la casella Allow Admin Access Only From Valid Referral URLs SmoothWall Express controllerà che l URL esistente è una pagina di SmootWall Express. Se la pagina corrente non è una pagina SmootWall Express allora la richiesta non è azionata ma è inserita nel file generale di log SmoothWall Express. Comunque c è un downside per questo, esso previene accessi remoti via DNS o indirizzo Dns Dinamici. Per la gestione remota di un sistema SmoothWall Express via DNS indirizzo DNS Dinamico è necessario disabilitare Referral Url. Alternativamente tu potresti guardare l indirizzo IP risolvendo l indirizzo DNS e usare questo per una gestione sicura. Non dimenticare di cliccare sul pulsante Save per salvare le modifiche. 2.5.6 Tempo 12/30
La pagina time ha due funzioni, per impostare la data e l ora e per permettere a SmoothWall Express di sincronizzare l orario con un server in rete. La lista di Timezone si riferisce al fuso orario, ed è possibile selezionarlo. Nella seziona Time And Date sono inseriti la data e l ora. Le modifiche fatte saranno effettive solo dopo aver ciccato sul pulsante Set. La sezione Network Time Retrieval provvede a sincronizze la data e l ora un server in internet. Se la casella Enabled è spuntata, ad ogni Interval il sistema si sincronizzerà. Per default con un intervallo giornaliere. L ultima opzione questo pannello è Save Time To RTC, ed è usata per fare l aggiornamento di SmoothWall Express il Real-Time Clock (RTC) del pc su cui è eseguito con il tempo salvato dal server di rete del tempo. La sezioni Network time Server permette all utente di scegliere quale server di rete di tempo usare. La prima delle tre scelte è Multiple Random Public Server cioè usare un differente server ciascuna volta,, questa è l opzione di default raccomandata. La seconda opzione, Selected Single Public Or Server, SmoothWall Express userà solo un server. L ultimo radio button, User Deinied Single Public Or Local Server permette ai server ti tempo specificati dagli utenti di essere usati. O un indirizzo IP può essere inserito o un nome che può essere risolto da SmoothWall Express (DNS). Alla fine clicca sul pulsante Salva per memorizzare i dati modificati. 2.6 Networking 13/30
Sei pagine sono accessibili dal gruppo di pagine Networking : forwarding, external services access, DMZ pinholes and ppp settings. 2.6.1 Port Forwarding Questa pagina permette all amministratore di creare una lista di regole di Port Forwardin., dove arrivando il traffico a una porta sull interfaccia Red e passata ad un altro indirizzo IO e porta, normalmente nelle DMZ (Orange) ma potenzialmente anche con le reti protette locali (Green). Questa facilitazione è tipicamente usata per permettere ai server nelle DMZ di comunicare con il mondo all esterno senza esporre il loro attuale indirizzo IP o più servizi o porte del necessario. Piccole reti sotto un dial-up o collegamento ISDN sono poco promettenti per usare questo con facilità. Per la sicurezza, è estremamente rischioso inserire i tuoi server visibile esternamente sulla tua rete locale perché un cracker potrebbe riuscire ad avere accesso alla rete locale. Sarebbe prudente usare una rete addizionale (DMZ sull interfaccia Orange) per il solo scopo di servire le richieste esterne. Come citato precedentemente, SmoothWall di default blocca tutto il traffico originato all esterno dall interfaccia internet (RED). Tutti gli indirizzi IP e porte che non sono bloccate, cioè permesso di attraversamento, devono avere una regola di Port Forwarding configurata. La casella di testo dell indirizzo di External Source IP Or Network provvede facilmente a restringere il traffico che può essere originato da utenti esterni. Pagina 28. Usa il campo Destination IP per specificare l indirizzo IP nella DMZ o la rete locale (Green) dove il traffico deve essere diretto. Non è raccomandabile dirigere il traffico su una porta della rete locale (green) servizi di accessi pubblici dovrebbero essere localizzati nella DMX se possibile. 14/30
La Destination Port specifica che porta dell indirizzo Destination Ip deve ricevere il traffico. Normalmente sarà uguale al Source Port; per esempio la porta 80 va alla porta80 del web server. Comunque, non è insolito usare numeri di porte non standard per ragioni di sicurezza. Se il campo rimane bianco, si intende la stessa porta del Source Port. La lista di Protocol di default riporta TCP ma questo può essere impostato per protocolli non connessi UDP se richiesto. Come standard, il pulsante Enabled, se spuntato, la regola sarà abilitata, dopo il clic sul pulsante Add. Le informazioni a questo punto saranno trasferite lessa sezione sottostante Current Rules. Se si abilita la casella Mark, si ha la possibilità di selezionare una riga e scegliere se modificarla, premendo sul pulsante Edit, o se eliminarla ciccando sul pulsante Remove. Note : --pagina 29 -- 2.6.2 External Services Access Questa pagina permette all Amministratore di creare una lista di connessioni permesse da computer esterni alla rete SmootWall via Indirizzi IP e porta sull interfaccai Internet (RED). Questo è tipicamente usato per garantire acce HTTP, HTTPS o SSH per amministrazioni remote dal sistema SmoothWall Express. Se reti o indirizzi IP esterni sono sicuri possono connettersi a porte prestabilite, allora l indirizzo IP o la rete deve essere inserito nella casella Source IP Or Network. Ciascun indirizzo IP o rete richiede il suo permesso nella lista delle Rules Access Port. La casella Destionation Port è usata per specificare quale porte sil sistema SmoothWll Espresse accetteranno i dati specificati dall indirizzo sorgente- tutte le altre porte saranno bloccate per 15/30
l indirizzo sorgente. Per le specifiche HTTPS la porta è 441, per SSH è 222. Accessi esterni usanti http non sono raccomandati perché questo protocollo non cripta i dati. La lista di Protocol di default seleziona TCP ma ne possono essere selezionati altri. Come standard, la cella Enabled serve a confermare i dati inseriti. Ciccando sul pulsante Add le informazioni saranno trasferite nella sezione sottostante Current Rules, con tutte le regole stabilite dall Amministratore. Diversamente dalle altre pagine, non c è il pulsante Save, tutte le modifiche saranno rese effettive dal click precedente sul pulsante Add. Questo è lo stesso anche per Port Forwarding e DMZ Pinholes. Una regole esistente puù essere modificata ciccando sulla casella Mark della regola e poi sul pulsante Edit. Tutte le informazioni sulla regola saranno copiate nella sezione Add A New Rule dalla sezione Current Rules. Naturalmente solo una regola per volta può essere modificata. Dopo aver modificato la regola ciccare sul pulsante Add e l informazione sarà reinserita nella seziona Current Rules. Se si esce dalla pagina prima di aver riconfermato le modifiche si causerà la perdita dei dati. Se tu stai amministrando da remoto il sistema SmoothWall Express allora non modificare la regola che garantisce gli accessi HTTPS altrimenti perderebbe la connessione appena premereste il pulsante Edit. Per eliminare o rimuovere una regola, selezionarla tramite la casella Mark e ciccare sul pulsante Remove. Più righe possono essere eliminate contemporaneamente se desideri. Note : L uso tipico delle regole di accessi a servizi esterni è abilitato per la gestione e configurazione remota del sistema. Creare una regola che sblocca la porta 441, questa è la porta usata per la sicurezza http (https) da SmoothWall Express. È fortemente consigliato che un indirizzo IP Source sia specificato quindi uno solo è conosciuto e si abbia fiducia di lui. Comunque, c è ancora da inserire la normale protezione della password. Con questo fatto, tu puoi configurare e gestire da remoto il sistema SmoothWall Express. Abilitando SSH in service>remote access e sbloccando la porta 222 permetterai da shell l accesso sia dell utente root e sia dell utente setup.* 2.6.3 DMZ Pinholes La pagina di configurazione è solo applicabile per le installazioni dove una Zona DeMilitarizzata (DMZ ) è configurata su una interfaccia Orange. Permette all amministratore di configurare buchi tra la DMZ e la rete locale- La configurazione standard, senza buchi configurati, blocca qualsiasi host nella DMZ da connessioni a un host della rete locale. Ogni buco cosi aperto è un potenziale rischio di sicurezza; comunque, ci sono buone ragioni per farlo. Il nome pinhole (buco di spillo) implica la dimensione del buco che dovrebbe essere aperto. Un tipico esempio da l uso che pinhole è quando un server web localizzato nella DMZ necessita di accedere ad un server SQL nella rete locale. Un altro esempio è quando un server di posta esterno nella DMZ ripete i messaggi nei server di posta interni nella rete. 16/30
Nella sezione Add A New Rule si trova la lista Protocol in cui va selezionato il protocollo di comunicazione. La casella di testo Source IP è usata per specificare l indirizzo IP del server nella rete DMZ che necessita di comunicare con un host della rete locale (Green). Usa la casella di testo Destination IP per specificare l indirizzo IP della rete locale che deve ricevere il traffico dall indirizzo indicato nel Source IP. La Destionation Port specifica quale porta del Destionation IP deve ricevere il traffico. Solo una porta può essere specificata per regola, un intervallo di porte non è accettato. I numeri delle porte devono essere compresi tra 1 e 65535. Il traffico può essere originato da qualsiasi porta del Source IP nella DMZ. Come standard, spuntando la casella Enable, la regola verrà abilitata. Cliccare sul pulsante Add e l informazione sarà trasferita nella seziona sottostante Current Rules. Se si vuole modificare una regola o eliminarne una o più di una, basta spuntare la cella Mark e cliccare rispettivamente su Edit o su Remove. 2.6.4 PPP (Dial-Up)Settings La pagina PPP Setting ti permette di configurare cinque tipi di profili dialup che possono essere usati per connettere il tuo sistema SmoothWall ad un ISP (Internet Service Provider) tramite ISDN, USB ADSL o un modem analogico. 17/30
I pulsanti Select E Dolete nella sezione Profiles in alto nello schermo ti permettono rispettivamente di attivare profili differenti, o eliminare dall elenco il profilo selezionato. Inserendo un nome in Profile Name, tu puoi scegliere una descrizione per ciascuno dei cinque profili. Se creai un nuovo profilo assicurati di selezionare uno slot empty (vuoto) nella lista dei profili, altrimenti il profilo selezionato sarà modificato. Nella sezione Telephonym usa il menù Interface per selezionare un modem, ISDN o un dispositivo USN ADSL (PPPoE) per questa connessione. Configurare un adattatore di termale ISDN esterno selezionando la porta COM a cui è connesso. Inserire il numero di telefono a cui vuoi che SmoothWall chiami per connettersi, nel campo Number, senza spazi, trattini, ecc. Se SmoothWall è connesso tramite una linea PABX, allora può essere necessario prefissare il numero con un codice di accesso fuori linea (normalmente un segnale digitale). * Alcuni vecchi PADX richiedono modem con pause tra richiesta e inizio chiamata, che può essere fatto inserendo una virgola, tra il codice di accesso e il numero. Il Computer To Modem Rate può normalmente essere lasciato con il valore di default 115200 bits/second. Nel caso di un vecchio pc 486 si dovrebbe ridurre il bit rate a 57600 bits/second. La funzione della casella Modem Speaker On dovrebbe essere evidente, anche se dovrebbe essere nota in generale, solo i modem analogici sono equipaggiati con speaker. 18/30
I menù di Dialling Mode permette di scegliere il tipo di comunicazione, a Pulse o a Tone (Impulsi o Frequenza). Selezionando la casella Persistent Connection, abiliterai il sistema SmoothWall a tenere il collegamento con l ISP disponibile per usarlo sempre. Se la connessione cade, per qualunque ragione, il sistema si riconnetterà automaticamente. Il Idle Timeout, impostato di default a 15 minuti, rappresenta il tempo di inattività prima che la connessione venga interrotta automaticamente. Settandolo a zero (0) disabiliterai questa funzione, e ti disconnetterai solo quando vorrai. La casella Dial On Demand configura il sitema SmoothWall a connettersi automaticamente al ISP del profilo corrente, quando un utente della rete inizializza una connessione per internet. Nota che se Dial On Demand è abilitato e la tua connessione è addebitata in base al tempo di connessione, potresti avere una sorpresa sgradevole quanto la prossima bolletta telefonica arriverà! In computer basati su Windows sono particolarmente soliti a generare traffico internet inutile, come loro routine di controllo. Similmente, i client di posta sono spesso configurati per cercare nuova posta ad intervalli regolari, giorno e note. La casella Dial On Demand For Dns, se abilitata, permette al sistema SmoothWall di connettersi ad Internet ogni volta che una richiesta DNS è fatta da qualunque macchina nella rete privata locale. La casella di riavvio di Connect on SmoothWall causerà la riconnessione all ISP ogni qualvolta che il sistema SmoothWall verrà riavviato.* La casella Automatic reboot if connection down for 5 minutes causerà il riavvio dell interfaccia internet (Red) se la connessione cade per cinque minuti L opzione ISP Requires Carriage Return è usata per evitare a SmoothWall di mandare un Carriage Retun dopo l inizio del dialogo PPP. Alcuni ISP ignorano il Carriage Retun mentre altro lo accettano. Questa opzione va decisa in base al tipo di ISP. Con la versione 2.0 di SmoothWall Express la configurazione dei modem USB ADSL è stata spostata al programma di setup. La sezione Authentication contiene i dati Username e Password che il tuo ISP richiede per accettare la connessione. L autentificazione Method usata dalla maggior parte dei ISP e settata di default a PAP or CHAP, ma se il tuo ISP usa un testo standard basati su script di login, seleziona tale opzione. In quest ultima ipotesi si può usare uno script di login personalizzato, scrivendo il nome del file creato da utente root (sulla macchina SmoothWall) e salvato nella cartella /etc/ppp (la path non va specificata). Le variabili Username e Password, nello script saranno sostituite dal Username e Password reali. Nella sezione DNS, l opzione già presente è Automatic dove il tuo ISP automaticamente passa dettagli dei loro server DNS tornati a SmoothWall Express. Questo è il modo più frequente di lavoro degli ISP. Alternativamente, se il tuo SIP non prevede questa funzione o tu usi un altro DNS, seleziona Manual e inserisci l indirizzo IP dei server Primari DNS e Secondary DNS nelle due caselle di testo previste. Clicca sul pulsante Salva nella schermata e memorizza i dettagli del nuovo profilo creato o modificato, o clicca sul pulsante Restore per ristabilire un precedente profilo salvato. Se un 19/30
qualsiasi errore è rilevato, sarà visualizzato nella sezione dei Error Messages alla fine della pagina. Nota che una configurazione di connessione non può essere cambiata quando la stessa connessione è attiva nell interfaccia Red. 2.6.5 IP Block Questa pagina di configurazione permette all amministratore di prevenire certi indirizzo IP dall essere capaci di accedere al Firewall o ai computer protetti da esso. Tipicamente queste sarebbe usato per memorizzare di indirizzi IP di conosciuti feste ostili, siti spyware o qualsiasi organizzazione o individuo considerato come minaccia. Nel campo testuale Source IP Or Network inseriti un indirizzo IP o di rete a cui tutti gli accessi devono essere negati. Questo deve essere un indirizzo pubblico su internet, non l indirizzo di SmoothWall Express o di DMZ o rete. Un indirizzo di rete dovrebbe essere inserito nel formato tradizione Indirizzo/Netmask, per esempio121.122.123.0/21, bloccherà tutti gli indirizzo da 121.122.123.0 a 121.122.123.255. Il firewall può reagire in due modi ai messaggi del Source IP, o con Drop Racket o con Reject Racket. Nel primo caso ignorerà i pacchetti, e apparirà all utente del Source IP come inesistente, sembrerà come se non ci fosse nessun computer con quel IP. Nel secondo caso invierà una risposta di rifiuto e nessuna richiesta di connessione sarà accettata, ma comunque il sistema SmoothWall sarà visibile. È possibile memorizzare l attività di Block IP, spuntando la casella Log. Se selezionato, Enabled, renderà effettivo il filtro sull IP. Cliccando sul pulsante Add si inseriranno le informazioni nella sezione sottostante Current Rules. Per eliminare una o più regole o per modificarne una, basta spuntare la casella Mark e premere rispettivamente sul pulsante Remore per eliminare ed Edit per modificare. 20/30