Il firewall

Il servizio di firewalling si occupa di proteggere le reti gestite dal NetBox da eventuale traffico indesiderato.
È possibile settare il tipo di traffico e la sua destinazione attraverso la maschera di inserimento visualizzabile selezionando, dal menù laterale, la voce Firewall.

maschera di configurazione del servizio firewall

Identificativo: è il nome con cui viene identificata la configurazione
Descrizione: è la descrizione sintetica, indicativa per il gestore del sistema, relativa alla configurazione
Applica: selezionando questo check-box si rende attiva la regola di Firewall visualizzata
Configurazioni Predefinite del Firewall:
- No Firewall: non vengono caricate le regole di firewalling; le porte attive del NetBox (SMTP, POP, SSH, WebAdm) sono raggiungibili dall'esterno.
  Con questa configurazione non è possibile uscire direttamente verso internet tramite alcuno dei protocolli: sarà possibile navigare tramite il Proxy Server e spedire/ricevere mail tramite il Mail Server presenti sul NetBox;
- Protezione Media: con questa configurazione viene attivato il firewall in modalità masquerade (NAT) dall'interno verso l'esterno.
  Le porte attive del NetBox raggiungibili dall'esterno sono SMTP, SSH, WebAdm. La porta POP in ingresso al NetBox, invece, viene bloccata;
- Protezione Alta: firewall attivo e masquerade disattivato.
  Rimane raggiungibile dall'esterno la sola porta SMTP.
  Dalla rete interna sarà possibile navigare tramite il Proxy Server e spedire/ricevere mail tramite il Mail Server presenti sul NetBox
Qualsiasi configurazione predefinita, una volta selezionata, andrà a ridefinire ogni precedente impostazione (se presente) inserendo i valori appropriati per la rete locale nelle regole principali identificate da input, output, forward.
Queste regole, comunque, potranno essere personalizzate per rispondere a esigenze particolari dell'utente.

Nello specifico, input, output, forward, sono le tre regole che definiscono nell'ordine le modalità in cui vengono accettati i pacchetti in ingresso, in uscita e in transito da una rete all'altra.
Una volta creata o aggiornata una nuova configurazione, sulla maschera di inserimento verrà aggiunta (o, eventualmente, tolta) una riga per la definizione delle regole di firewall.

Index: indice numerico utilizzato per definire l'ordine di lettura delle regole (le stesse vengono verificate fino a determinare la prima corrispondenza, quindi, se ne dovrà tener conto nella definizione).

From IP, Mask, First Port, Last Port: parametri di definizione della rete di provenienza dei pacchetti di informazione e delle relative porte di comunicazione

To IP, Mask, First Port, Last Port: parametri di definizione della rete di destinazione dei pacchetti di informazione e delle relative porte di comunicazione

Iface: interfaccia utilizzata per lo scambio dei dati (generalmente eth0)

Proto: protocollo di comunicazione interessato dalla regola. I parametri possono essere settati, attraverso questo combo, a TCP (richieste per i vari protocolli TCP/IP), UDP (richieste DNS), ICMP (richieste ping)

Modo: modalità di restrizione sui pacchetti che corrispondono alla regola. Attraverso il combo si può settare la modalità a

Permit - i pacchetti vengono lasciati transitare

Deny - i pacchetti vengono bloccati

Masq - per le regole di Forward. I pacchetti provenienti dalla rete interna vengono mascherati verso la rete Internet

Jump - la regola definita dovrà far riferimento a quelle di Input, Output o Forward di base

Vuoto - elimina la regola definita

JumpTo: viene qui specificato a quale regola dovranno essere associati i dati definiti

esempio di configurazione del servizio firewall - regole di input

Nell'immagine viene riportato un esempio di configurazione di input per permettere l'utilizzo del servizio FTP da Internet verso una macchina pubblica della propria DMZ (rete pubblica gestita internamente).
Nel caso specifico viene effettuato un permit da tutta la rete Internet (From IP= 0.0.0.0; Mask= 0), tutte le porte (First Port= 1; Last Port= 65535), verso la macchina della DMZ con IP 194.155.55.6 (To IP= 194.155.55.6; Mask= 32) sulle porte FTP (First Port= 20; Last Port= 21). Nella riga successiva viene negato qualsiasi altro tipo di traffico di rete verso la rete DMZ (nel nostro caso 194.155.55.0/24).

Per la regola di output si utilizzerà una configurazione simile invertendo la provenienza e la destinazione dei pacchetti in maniera opportuna.

esempio di configurazione del servizio firewall - regole di forward

La regola di forward permette di definire il mascheramento delle reti private. La funzione di masquerading (chiamata comunemente NAT - Network Address Translation) consente alle macchine della rete privata di effettuare richieste verso la rete Internet su porte che non siano necessariamente quelle permesse dal proxy server, come se provenissero direttamente dall'indirizzo pubblico del NetBox.
L'immagine riporta un esempio di configurazione di forward per permettere l'utilizzo di tutti i servizi Internet, sui protocolli Tcp e Udp, da parte di tutte le macchine della rete interna.

Nell'esempio è riportata la configurazione che permette a qualsiasi macchina della rete privata il prelevamento della posta tramite il protocollo POP3 (porta 110) da un server esterno. L'abilitazione della porta 53 per i protocolli TCP e UDP consente la risoluzione degli indirizzi mnemonici tramite l'utilizzo di server DNS esterni.

I campi di inserimento denominati Jump To si riferiscono alla possibilità di rimandare ad un'altra regola nel caso in cui il pacchetto abbia corrispondenza con la riga: per attivare questa funzione la modalità definita dal combo Modo dev'essere impostata a Jump.

Attenzione: l'impostazione delle regole di firewall richiede una conoscenza approfondita delle problematiche di configurazione. Un'errata impostazione potrebbe precludere anche il servizio di gestione remota.
Nel caso, inavvertitamente, si fossero impostate delle regole troppo restrittive tali da escludere l'accesso al NetBox da remoto, è stata prevista una procedura di disabilitazione di tutte le regole impostate, senza però cancellarle.