![\"firewall\"](\"https:\/\/www.flapane.com\/blog\/wp-content\/uploads\/2009\/04\/firewall.jpg\")
<\/p>\n<\/p>\n
Iptables per Linux (fra cui Ubuntu \u00e8 probabilmente la pi\u00f9 diffusa) \u00e8 il programma con cui ci si interfaccia con netfilter, che permette di intercettare, bloccare pacchetti, in maniera pi\u00f9 spicciola permette ad un utente di decidere quali connessioni voglia bloccare, e quali porte voglia aprire per consentire quel determinato traffico (es. aprire la porta 21 per permettere ad un utente di collegarsi al computer locale, che fa girare un server ftp).<\/p>\n
Di default, se nessuno ha configurato il firewall, iptables bloccher\u00e0 tutte le connessioni in ingresso, il che significa che se qualcuno prover\u00e0 a collegarsi al computer attraverso quel servizio (ftp, mail) ricever\u00e0 un bel TIMEOUT<\/em>.<\/p>\n Questo \u00e8 facilmente verificabile digitando, in una shell:<\/span><\/p>\n <\/span>il risultato sar\u00e0<\/span><\/p>\n <\/span>senza ulteriori dettagli sulle porte aperte. C’\u00e8 quindi bisogno di individuare il servizio che si vuole rendere accessibile all’esterno, capire quale sia la porta tcp o udp associata (di default, per es. 21 per ftp, 22 per ssh). Un esempio potrebbe essere un file di questo tipo:<\/span><\/p>\n <\/span>Dove le righe del tipo iptables -A INPUT -p tcp –dport NUMERO_PORTA -j ACCEPT dicono di aprire la porta tcp numero NUMERO_PORTA. A questo punto non rimane che salvare lo script, renderlo eseguibile (sudo chmod +x nomescript) e copiarlo in \/etc\/init.d <\/span>e verificarle con sudo iptables -L.<\/p>\n Ovviamente nulla vieta di utilizzare una gui per impostare le regole graficamente, ma credo sia necessario capire un minimo il funzionamento per poter gestire il proprio firewall prima di utilizzare uno strumento grafico.<\/p>\nsudo iptables -L<\/pre>\n
Chain INPUT (policy ACCEPT)\r\ntarget prot opt source destination<\/pre>\n
\nQuesto tipo di configurazione pu\u00f2 anche andar bene per una buona parte degli utenti, ma non va pi\u00f9 bene nel momento in cui, come scritto sopra, avr\u00e0 bisogno di far girare un server ftp sul computer e di permettere ad utenti remoti di accedervi, oppure vorr\u00e0 accedere al computer in remoto utilizzando il servizio ssh (Secure shell<\/em>).<\/p>\n
\nFatto questo, \u00e8 comodo creare un piccolo script che verr\u00e0 lanciato automaticamente all’avvio del computer (perch\u00e8 altrimenti, al successivo riavvio, iptables avr\u00e0 “dimenticato” tutte le regole che avete impostato).<\/p>\niptables -P OUTPUT ACCEPT\r\niptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\r\niptables -A INPUT -p tcp --dport 4682 -j ACCEPT\r\niptables -A INPUT -p udp --dport 4692 -j ACCEPT\r\niptables -A INPUT -p tcp --dport 6890:6900 -j ACCEPT\r\niptables -A INPUT -p udp --dport 6890:6900 -j ACCEPT\r\niptables -A INPUT -p tcp --dport 25 -j ACCEPT\r\niptables -A INPUT -p tcp --dport 22 -j ACCEPT\r\niptables -A INPUT -p tcp --dport 2077 -j ACCEPT<\/pre>\n
\nLe righe del tipo iptables -A INPUT -p udp –dport NUMERO_PORTA -j ACCEPT permettono di aprire la porta NUMERO_PORTA udp.
\nLe porte del tipo NUMERO_PORTA1:NUMERO_PORTA2 significa aprire tutte le porte nell’intervallo compreso fra queste due porte.<\/p>\n
\nAl successivo riavvio, le regole verranno caricate nel firewall. Se si vogliono testare le regole appena create senza riavviare, \u00e8 sufficiente digitare<\/span><\/p>\nsudo iptables nomedelvostroscript<\/pre>\n