| Quando si parla di FireWall ci si riferisce quasi sempre al cosiddetto FireWall Software. Vale a dire un programma utile per proteggerci dalle intrusioni, e filtrare le applicazioni che tentano di accedere alla rete, ma non privo di limiti. Ad esempio, ci potrebbe essere il rischio di essere disabilitato da un Malware, o un’esposione ai Crash di sistema, o ancora altri problemi cui il sistema potrebbe incorrere. Molto più solido appare un FireWall su Hardware separato, più brevemente FireWall Hardware. Cosa vuol dire questo? Il firewall in questo caso agisce separatamente dalla macchina che è incaricato di proteggere. In tal caso il firewall non viene interessato da eventuali malfunzionamenti del nostro pc e proprio su questo principio si basa il FireWall interno che sempre più modelli di router includono tra le proprie funzionalità. |
||||
| Avremo sentito parlare, non senza un certo timore reverenziale, di veri e propri computer configurati per agire da FireWall. Roba da esperti ? Non più di tanto: se abbiamo in casa un vecchio PC ancora funzionante, una scelta appropriata potrebbe essere SmoothWall Express una distro basata su GNU/Linux, appunto per questo Chicchedicala vi guiderà all’installazione e alla configurazione di Base.
REQUISITI HARDWAREPùò sembrare una battuta, ma verrebbe da rispondere “non esistono”. Questa la conclusione suggerita dai dati che gli utenti del forum ritoccano continuamente al ribasso, certificando il funzionamento di SmoothWall e simili su piattaforme davvero antidiluviane. Almeno un Pentium II, 32 MB di RAM e 540 MB sul disco fisso più, una/due Schede di Rete, una qualunque Scheda Video e nessuna per l’Audio, con Tastiera e Monitor utilizzati quasi esclusivamente per l’installazione. Così recitano le sintesi più accreditate, e quell’ “Almeno” è in realtà frutto di un prudenziale gioco al rialzo. Con un pò di manualità, neppure 8 MB di memoria fisica o l’assenza del disco fisso costituiscono un ostacolo insormontabile. Lo conferma la perfetta efficienza di Distro specifiche per FireWall che si avviano da Live Cd, accontentandosi di un supporto esterno o addirittura di un vetusto Floppy Disk per memorizzare le impostazioni essenziali. Soluzioni estreme come queste difficilmente ci riguarderanno da vicino, ma una precauzione rimane consigliabile su computer vecchi “solo” di qualche anno: Abilitiamo dal BIOS tutti i settaggi relativi al risparmio energetico, soprattutto per ridurre la frequenza del processore. Lo spreco di energia, inevitabile su macchine così sovradimensionate rispetto alle esigenze del caso, risulteranno perlomeno contenute.
SCHEDA VERDE E ROSSA
Il funzionamento di una macchina così concepita si basa su due interfaccie principali. La prima detta GREEN, lo collega alla rete locale, LAN e ai singoli Client, compreso il computer che utilizziamo normalmente. La Seconda detta RED, lo collega a internet, cui il PC-FireWall a accesso esclusivo, tramite una periferica per la connessione. Modem analogico 56K, Modem ISDN, Modem ADSL USB o Ethernet e Router sono tutti ugualmente supportati. Le richieste effettuate dai Client presenti in rete vengono inoltrate verso il Web, il traffico in entrata smistano verso la rete locale, ed entrambi sono filtrati durante il loro passaggio. Il tutto impedendo qualsiasi contatto diretto fra la rete locale e internet e, quindi, in massima sicurezza.
PERCHE’ DUE SCHEDE ?
Le due interfacce si distinguono anche per l’assegnazione di diversi intervalli, o Range, di IP. La GREEN opera di solito con identificativi della serie 192.168.x.y, caratteristiche delle reti locali. A gestirli è il DHCP, che li attribuisce ai Client al momento della connessione scegliendoli in ordine progressivo da un intervallo predefinito; in alternativa si assegnano manualmente degli IP statici. Entrambi valgono unicamente all’interno della LAN e sono invisibili da internet. La RED si basa invece sull’IP, in genere dinamico, assegnato dal provider e che identifica il PC per consentirgli di scambiare dati OnLine, ad esempio col server su cui risiede un sito per il caricamento di una pagina Web. La separazione tra le due interfaccie è anche fisica, perchè a supportarle materialmente sono due periferiche distinte. La scheda di rete che troviamo su tutti i PC viene associata all’interfaccia GREEN; se l’interfaccia RED si connette al Modem o al Router via Ethernet, ecco la necessità di una seconda scheda con uscita RJ-45.
TRE SCENARI
Dando per scontato che la nostra connessione rientri fra quelle a banda larga, la configurazione cambia leggermente a seconda della periferica utilizzata per accedere a internet. Un vecchio Modem USB è per certi versi la soluzione più semplice: non richiede una presa Ethernet, il che rende sufficiente la scheda di rete già installata, e non confligge minimamente col PC-FireWall, non avendo funzioni aggiuntive rispetto alla commutazione del segnale. A suo svantaggio giocano solo il supporto Driver limitato ad alcuni modelli e l’inadeguatezza dell’interfaccia USB a un traffico di dati continuo. Una seconda scheda di rete è invece indispensabile per “agganciare” un Router ottenuto in comodato insieme alla connessione. Il FireWall è insuficiente o bloccato nella configurazione, situazione che spinge molti utenti a richiedere all’operatore l’apertura di tutte le porte per poi allestire in proprio una barriera difensiva. Altro scenario, infine, è quello che prevede un Router dotato di FireWall, ma troppo poco configurabile per adattarsi alle nostre esigenze. In questo caso è fondamentale disabilitare tutte le funzioni aggiuntive riducendolo a semplice modem, per delegare il resto al PC-FireWall. Entrambe le ipotesi che prevedono un Router hanno il pregio di sfuggire al problema del supporto Driver. A differenza dei Modem USB le schede di rete vengono quasi sempre riconosciute in automatico o, al peggio, con ricerca per marca e modello.
DOWNLOAD SMOOTHWALL EXPRESS
Per trasformare il vecchio PC in un FireWall useremo la distro SmoothWall, scaricabile dal sito smoothwall.org Una volta terminato lo scaricamento, dovremo trasformare la suddetta immagine ISO in un CD-ROM. Per farlo potete usare vari programmi utili a questo scopo, per esempio Nero. Verifichiamo che il computer che vogliamo trasformare in FireWall sia impostato in modo da essere avviabile da CD-ROM, altrimenti richiamiamo il BIOS e modifichiamo i parametri necessari perché lo diventi. Inseriamo poi il CD-ROM nel lettore e riavviamo il computer.
INSTALLAZIONE SMOOTHWALL
|
||||
 |
 |
|||
| 1. Inseriamo il CD nel lettore del PC che si desidera utilizzare come firewall, dopo un breve caricamento, nella prima schermata visualizzata basterà premere INVIO. | 2. Alla finestra di dialogo premiamo OK (INVIO) per proseguire. | |||
 |
 |
|||
| 3. Premiamo nuovamente OK (INVIO) per proseguire. | 4. Premiamo nuovamente OK (INVIO) per proseguire. | |||
 |
 |
|||
| 5. La finestra di dialogo corrente ci avvisa che Il processo di installazione cancella tutti i dati dal disco rigido del PC. Premiamo nuovamente OK (INVIO) per proseguire. | 6. Attendiamo che i file di SmoothWall Express vengono installati. Una volta completata l’installazione, la finestra di dialogo riporterà Congratulation! premiamo OK (INVIO) per proseguire. | |||
CONFIGURAZIONE SMOOTHWALL |
||||
 |
 |
|||
| NIENTE RIPRISTINO: Completata l’installazione vera e propria, SmoothWall propone il ripristino delle impostazioni precedentemente salvate su un Floppy. Per ora non ci serve, ma teniamone conto per il futuro, Successivamente scegliamo la mappatura della tastiera | NOME DELL’HOST: Come tutte le macchine in rete, al PC destinato a funzionare da Firewall viene assegnato un HostName. Scegliamone uno facilmente memorizzabile, utile anche per accedervi via Browser. | |||
 |
 |
|||
| APERTO O CHIUSO: Come impostazione di massima, per le connessioni in uscita scegliamo Half-Open, che bloccherà il traffico potenzialmente pericoloso senza richiedere ulteriori interventi per la configurazione. | TUTTO IN UNA SCHERMATA: Tipo di connessione, periferiche, indirizzi IP, DNS: Tutte le opzioni fondamentali, che ci accingiamo a illustrare nei dettagli, passano per la schermata NetWork Configuration Menu. | |||
 |
 |
|||
| SCELTA INTERFACCIA: Per connetterci a una normale Adsl con un modem o un Router Ethernet, limitiamoci a indicare un’interfaccia GREEN e una REED. Per i modem USB, l’opzione è GREEN (RED is modem/ISDN). | RICERCA SCHEDA DI RETE: Le schede ethernet vengono in genere riconosciute in automatico. Se quelle identificate non corrispondono a quelle montate, avviamo la ricerca manuale fra i driver suddivisi per marca e modelli. | |||
 |
 |
|||
| GREEN O REED ? Una volta riconosciute, le schede di rete vanno assegnate a un’interfaccia selezionata in precedenza. Approfittiamone per annotare il MAC Address che identifica in maniera univoca ciascuna scheda. | IP PER LA LAN: L’interfaccia GREEN dovrà ora ricevere l’IP con cui verrà contattata all’interno della LAN. Il comune 192.168.0.1, con 255.255.255.0 come Network Mask, andrà benissimo. | |||
 |
 |
|||
| IP PER INTERNET: Il nostro contratto ne prevede in genere uno dinamico. Con DHCP riceveremo in automatico anche i DNS, mentre con PPPOE andranno impostati nella schermata successiva. | DNS E GATEWAY: Il Default gateway corrisponde all’IP del Router se il PC-FireWall accede al web attraverso di esso, altrimenti lasciamolo vuoto. Se il DHCP è attivo sull’interfaccia RED, sovrascriverà queste impostazioni. | |||
 |
 |
|||
| IMPOSTAZIONI CONNESSIONE: Da questa schermata raggiungiamo i settaggi descritti nei prossimi passi. Se non ci serviamo di un modem USB, risulterà di nostro interesse solo la voce DHCP Server Configuration. | IP PER I CLIENT: Il DHCP attivo sull’interfaccia GREEN distribuirà invece in automatico gli IP ai Client connessi alla LAN. Abilitiamolo per comodità, gli IP statici verranno casomai assegnati in seguito. | |||
 |
 |
|||
| CONFIGURIAMO L’ADSL: Le opzioni di Adsl Configuration si riducono di fatto alla sezione del modello di modem USB. Se utilizziamo una periferica connessa tramite interfaccia Ethernet, passiamo pure oltre. | MODEM USB: Il supporto per marche e modelli è abbastanza esteso, ma non illimitato. Del resto, l’unico motivo per usare un modem USB è l’impossibilità di installare sul computer una seconda scheda di rete. | |||
 |
 |
|||
| PASSWORD ADMIN: Admin è l’account utente di cui ci serviremo per accedere alla configurazione via Browser da un client connesso alla rete. Per la robustezza della password valgono le norme di sempre. | PASSWORD ROOT: Root, come sempre su Linux, ha in mano le chiavi del sistema ed è accessibile dall’esterno solo via SSH. Proteggiamolo con una password diversa da quella definita per admin. | |||
ACCEDERE A SMOOTHWALL DA BROWSER WEB |
||||
Per accedere da un Client collegato alla rete, nel browser inseriamo l’indirizzo del nostro SmoothWall Express, per esempio: https://192.168.72.142:441 e quando richiesto, inseriamo username e password.
IMPOSTIAMO LA PROTEZIONE: |
||||
 |
 |
|||
| CONTRO LE INTRUSIONI: Accedendo via browser alla configurazione, nella sezione Services troviamo ids che sta per Intrusion Detection System: Aggiungiamo un segno di spunta e clicchiamo su Save. | IP STATICI: Le opzioni per DHCP prevedono anche l’assegnazione di IP statici ai Client in base al MAC Address della scheda di rete. Lo otteremo da Prompt dei comandi digitando ipconfig /all. | |||
 |
 |
|||
| PORT FORWARDING: Per completare le impostazioni che daranno via libera a P2P e VOIP, passiamo a NetWorking. Da Incoming selezioniamo il protocollo: Source e Destination Port dovranno coincidere. | RESOCONTO COMPLETO: Fra le caratteristiche più apprezzabili di SmoothWall vi sono i Logs di tutto quanto passa per il PC-FireWall. La loro consultazione è destinata ad utilizzi avanzati, ma risulta sempre utile. | |||
ESTENSIONI SMOOTHWALL EXPRESSLe potenzialità di questa minidistro, però, possono andare ben oltre rispetto rispetto a quanto fin quì elencato. Anche senza ricorrere alla versione Corporate a pagamento, possiamo infatti espandere notevolmente le sue funzioni attraverso l’installazione delle Estensioni. Grazie a queste ultime possiamo implementare, frà l’altro, un proxy basato su Squid e DansGuardian per ottimizzare il traffico tramite caching e filtering dei contenuti, un POP3 Scanner per bloccare alla fonte email sospette; l’antivirus ClamAV e varie funzioni per gestire una Virtual Private Network, o VPN, in parte già supportata nativamente. Insomma: con un pò di “olio di gomito” possiamo realizzare una soluzione complessiva di alto livello, in grado di proteggere reti locali abbastanza estese e consentirci di avere un parco macchine particolarmente scattanti, visto che non saranno appesantite da software per la sicurezza. A differenza di quanto accade per il semplice firewall, le altre funzionalità richiedono però una conoscenza di Linux un pò più avanzata. |
||||
| MAGGIORI INFORMAZIONI | ||||
| SITO UFFICIALE | WIKI SMOOTHWALL | |||
| APPROFONDIMENTO DETTAGLIATO SULLA CONFIGURAZIONE DI SMOOTHWALL | ||||
Chicche di Cala
Il blog di Calabrò Davide, il miglior blog tecnico dell'anno!
Trasformare il PC in un Firewall con Smoothwall (GNU/Linux)
Posted in novembre 17th, 2009
by Fask in Antivirus, LINUX, [SICUREZZA] Tag:Antivirus, distribuzione, distro, Firewall, Gestione PC, gnu/linux, hardware, LINUX, Smoothwall, [SICUREZZA]
Articoli Recenti
- Notificatore di Posta Gmail con anteprima e composizione rapida [Kwerty]
- Truccare – Potenziare il PC con un programma che racchiude più di 100 Trucchi [Windows Tweaker]
- Rimuovere adware e tutte le toolbar del browser
- Salvare gli allegati di Gmail direttamente in Google Documents [Estensione Chrome]
- Semplicissimo programma per Scaricare Video o Musica da Youtube
- Sincronizzazione tra Windows-Mac-IPhone-BlackBerry-Android-Symbian-Windows Mobile con SugarSync 1.9.57
- Un sito in cui verificare tutti i codici sconto disponibili per un risparmio anche oltre il 50%
- Convertire – Estrarre audio-video con Aiseesoft DVD Ripper [gratis a tempo]
- Aumentare privacy-performance e abilitare funzioni nascoste di Windows [TweakNow WinSecret 2012]
- Creare-Convertire-Modificare-Firmare-Visualizzare il pdf – [Nitro Reader]
Articoli più letti
- Rendere definitivamente genuina la copia pirata di Windows XP
- Rimuovere - Disattivare - Disinstallare Windows Genuine Advantage (continuo aggiornamento)
- Rimuovere - Disattivare - Disinstallare Office Genuine Advantage ( KB949810 )
- Rendere genuino office [ rimuovere - resettare - modificare il seriale ]
- Attivare definitivamente qualsiasi versione di Microsoft Windows 7 (continuo aggiornamento)
- Scaricare - Installare - Attivare - Rendere genuino Windows Vista Sp1 [guida completa dalla A..Z]
- Download
- Rubare tutte le password di un Pc con Lupen-Pen-Drive
- Mancano 30 giorni per procedere all'attivazione di Windows XP [Soluzione]
- Attivazione definitiva - Windows 7 Loader By Daz
- Come cambiare indirizzo IP per navigare anonimi e in sicurezza
- Rendere genuino microsoft office 2003/2007 con OGA_Patch_v1.7.111.0
- Eliminare-disattivare disinstallare Windows Genuine Advantage Validation (WGA) v1.9.9.1
- Rimuovere-Disattivare-Disinstallare Windows Activation Technologies (KB971033) con RemoveWAT
- Non riesco ad accedere a Windows XP , mi dice attivare la licenza?
Offerta Lampo
Commenti Recenti
- Ennioidea in Rimuovere adware e tutte le toolbar…
- Jacopo in Torrent-Scaricare a massima velocit…
- mecks in Costruire una Rete Domestica Wirele…
- ziomaury in Abilitare la modalità AHCI nel BIO…
- Olmo63 in Semplicissimo programma per Scarica…
- User90 in Come installare e avviare Windows 7…
- Mechrekt in Come installare e avviare Windows 7…
- lillosara in Recuperare documento word non salva…
- roberta in 10 Siti per scaricare Musica gratis…
- bubba in Trasformare il PC in un modem wifi …
Archivio
- maggio 2012
- aprile 2012
- marzo 2012
- febbraio 2012
- gennaio 2012
- dicembre 2011
- novembre 2011
- ottobre 2011
- settembre 2011
- agosto 2011
- luglio 2011
- maggio 2011
- aprile 2011
- marzo 2011
- febbraio 2011
- gennaio 2011
- dicembre 2010
- novembre 2010
- ottobre 2010
- settembre 2010
- agosto 2010
- luglio 2010
- giugno 2010
- maggio 2010
- aprile 2010
- marzo 2010
- febbraio 2010
- gennaio 2010
- dicembre 2009
- novembre 2009
- ottobre 2009
- settembre 2009
- agosto 2009
- luglio 2009
- maggio 2009
- aprile 2009
- marzo 2009
- febbraio 2009
- gennaio 2009
- dicembre 2008
- novembre 2008
- ottobre 2008
- settembre 2008
- agosto 2008
- luglio 2008
- giugno 2008
- maggio 2008
- aprile 2008
- marzo 2008
- febbraio 2008
- gennaio 2008
- dicembre 2007
- novembre 2007
Trova Articolo
Sicurezza
Offertissima
Categories
- Beta
- Chat
- Giochi
- Gravatar
- Manutenzione PC
- Messenger
- OpenOffice.org
- Pendrive
- Resizer
- Riviste
- Webcam
- Widget
- Xbox
- [BROWSER]
- [GOOGLE]
- [GUIDE]
- [INTERNET]
- [IPHONE-IPAD-IPOD]
- [MICROSOFT OFFICE]
- [MOBILE]
- [MULTIMEDIA]
- [OFFERTE]
- [P2P]
- [PRODUTTIVITA']
- [SICUREZZA]
- [SISTEMI OPERATIVI]
- [SITI UTILI]
- [SOCIAL NETWORK]
- [TIPS&TRICKS]
- [TOP DEL GIORNO]
- [UTILITA' DI SISTEMA]
16 users commented in " Trasformare il PC in un Firewall con Smoothwall (GNU/Linux) "
Segui i commenti comment rss o lascia un TrackbackCiao, guida eccezionale, domanda: come faccio a collegare più client alla scheda green, avendo quest’ultima (ovvio) una sola uscita? Un altro router? Chiariscimi le idee, grazie.
Ciao
Fantastica guida. Semmai un giorno mi servirà so dove andarla a pescare
bella la guida
ma siccome si parla di applicazioni free
io vi consiglio di andare a vedere untangle ( www. untangle.com )
un Open Source Grafico ( firewall – antispam – antivirus – antiphish – antispyware )
tutto gratis
Una figata molto interessante, soprattutto in un ottica di gestione di una rete piu’ ampia di quella che puo’ essere la classica LAN casalinga!
Complimenti Fask ottima guida siete insuperabili!
[...] ma non privo di limiti. Ad esempio, ci potrebbe essere il rischio di…[ad] Continua a leggere: http://www.chicchedicala.it/2009/11/17/trasformare-il-pc-in-un-firewall-con-smoothwall-gnulinux/ VN:R_N [1.6.5_908]Rating: 0.0/10 (0 votes cast) Share and [...]
ciao, la guida è chiarissima, ma come faccio a collegare altri client, alla green ? Posso farlo avendo un modem router alice ?
Se solo fask rispondesse
Ciao
Addirittura vi infastidite se la gente non risponde ?? non so se vi rendete conto che la gente lavora….son tornato a casa adesso…fate i bravi…dai..
in ogni caso la cosa migliore è aggiungere una seconda scheda di rete con interfaccia Ethernet. Nessun problema per il modello e aggiungerla comporta una spesa davvero irrisoria. Se il PC-Firewall è incaricato di proteggere più client, l’interfaccia ethernet di una delle due schede andrà sdoppiata in più uscite RJ-45 connettendo ad essa un hub o uno switch, (ma si può procedere allo stesso modo anche con una sola scheda) in questo modo risolverete il problema, allego anche uno schema in modo che abbiate tutto più chiaro..
in ogni caso allego un file pdf all’articolo (sez. maggiori informazioni)…..leggetelo attentamente e risolverete la maggior parte dei vostri problemi, la traduzione è stata fatta da kjamrio9…buona lettura.
Un altra informazione utile è che oltre al GREEN per l’interfaccia che connette con la LAN interna e il RED per quella in uscita verso internet, le opzioni di smoothwall prevedono altre due aree contrassegnate da un colore. La BLUE indentifica una seconda rete interna, che può essere anche senza fili. Non ce ne siamo occupati poichè la sua implementazione si appoggia obbligatoriamente ad un access point, che richiede un non banale supplemento di configurazione. L’ORANGE è invece associato alla Zona demilitarizzata, DMZ, nella quale vengono collocati i server accessibili dall’esterno per garantire l’accesso a siti web ospitati su di essi p i servizi mail, FTP e via elencando. L’area in questione è in grado di scambiare traffico con internet e di riceverne dalla LAN, ma non di indirizzarlo verso quest’ultima. Ne deriva che un aggressore capace di bucare i server non potrà risalire oltre in direzione della rete interna, con grande vantaggio per la sicurezza complessiva dell’architettura.
Nessun fastidio, grazie;)
Se nella guida riusciresti ad implementare almeno la orange sarebbe perfetto.
Ciao,
potrei avere problemi a configurarlo con il router di fastweb (fibra), non conosco il suo indirizzo.. sarà possibile cambiarlo?
Cala se ti interessa ho postato alle 8.23 e non 9.23..
aiutoooo..non riesco ad accedere piu al forum..dice che ce un errore sql…contattare l’amministartore….cala aiuto senza le tue kikke sono finito
Ciao,
abbiamo usato smoothwall per un pò in azienda, ma purtroppo dato che esiste la controparte commerciale, certe funzioni un pò avanzate credo difficilmente saranno implementate.
Ho dato anche un occhiata ad untangle ma mi sembra un tantino esoso di risorse.
Se ne avete voglia date un occhiata a pfSense è derivato da monowall ma più completo secondo me e sopratutto è solo free e quindi non hanno limiti nell’implementazione di nuove funzioni.
Buona sera e complimenti x l’aiuto che date su questo blog.
vorrei anche provare questa formidabile distribuzione , solo che ho
alcuni dubbi e spero che voi me li possiate chiarire.
In casa ho un piccolo firewall sempre con una mini-distribuzione
chiamata ENDIAN e vorrei passare ad smoothwall in quanto mi è stato
detto che è molto + leggera.
Voglio sapere perfavore se una volta installato il tutto ,
1)l ‘ interfaccia web è in italiano ?
2)c’e la possibilita di aggiungere , tramite gli addons un antivurs?
x enrico:
sono andato a curiosare “untangle”,ma è tutto in Inglese che non mastico affatto
bene!!!Sai se c’è una guida in Italiano e dove la si può consultare?
A quanto ho capito o credo di aver capito, sembrerebbe interessante, ma purtroppo
l’inglese mi limita assai.
Ciao e grazie.
Scrivi Commento