Buongiorno. Spinto dalla curiosità, ho voluto provare la preview di Fedora 10, e già che c'ero ho dato un'occhiata a Shorewall (http://www.shorewall.net/) come sistema per configurare un firewall. Siccome non sono un esperto, vorrei un parere sulla configurazione che ho adottato, e se qualcuno ha dei "trucchi" da suggerirmi...volentieri!
Allora... premesso che:
1-La mia rete casalinga consta di 1 Router/Modem wireless con indirizzo IP 192.168.1.1, con DHCP
2-A me serve una configurazione "blindata" (al momento non uso programmi P2P, poi si vedrà) in cui nessuna connessione deve entrare a meno che non sia stato io per primo a chiederla
3-Non mi interessa creare una minirete casalinga tra i PC (configurazione stand-alone, insomma)
Questa è la configurazione che ho adottato:
codice:
/etc/shorewall/zones
fw firewall
net ipv4
codice:
/etc/shorewall/interfaces
net wlan0 detect dhcp,blacklist,norfc1918,nosmurfs,routefilter,logmartians,tcpflags
codice:
/etc/shorewall/policy
$FW net ACCEPT
net $FW DROP info
net all DROP info
all all REJECT info
(NOTA: la colonna "info" è il "loglevel")
Pareri? Suggerimenti?
Ho provato ad andare sul sito https://grc.com/x/ne.dll?bh0bkyd2 e ho fatto una scansione di tutte le porte, e risultano tutte "Stealth". Ci sono altri sistemi per capire se sta funzionando?
Io ho provato a mettermi in ascolto in /var/log/messages:
codice:
tail -f /var/log/messages | grep Shorewall
E ho trovato un sacco di messaggi generati di DROP da 192.168.1.1 (router) a 192.168.1.4 (io) generati di sicuro dal flag norfc1918 in /etc/shorewall/interfaces... sono indeciso se tenermelo oppure no
Ulteriore considerazione: questo signore http://blogdieugenio.blogspot.com/20...cdrclocal.html
avvia iptables e shorewall direttamente con rc.local:
codice:
## PER FLUSHARE IPTABLES ##
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
# partenza di shorewall
/etc/init.d/iptables stop
/etc/init.d/iptables start
/sbin/shorewall restart
Secondo voi ha qualche utilità pratica utilizzare questo sistema?
Grazie per la pazienza e l'attenzione.