(Aggiornato:qui la seconda parte.)
Questo è un tutorial per installare SmoothWall Express 2.0, un firewall open source, su cui trovate maggiori info in questo mio post. In pratica si tratta di un PC con 2 o più schede di rete, posto tra la rete locale ed il router. Il sistema operativo è una speciale distribuzione Linux adattata allo scopo, completamente gestibile da remoto tramite un browser.
Prerequisiti:
- Saper masterizzare una immagine ISO;
- Saper installare una scheda di in un PC;
- Conoscenza del protocollo TCP/IP;
- Familiarità con le reti locali;
- Fondamenti di sicurezza informatica.
Spiegare i come ed i perchè dei firewall esula dagli scopi di questo documento, ma facciamo comunque una pianificazione del nostro intervento.
Assumiamo che abbiate un router ADSL, sarà stata vostra cura configurarlo in modo che apra le giuste porte TCP. Meno ne aprite più sicuri siete. Un’altro approccio è aprire tutto e poi fidarsi del firewall, decidete voi.
Se il router è di proprietà, e quindi ci posso smanettare, mi apro di volta in volta le porte che servono. Se è in comodato d’uso e non ho la password, visto che ogni volta che lo toccano vogliono un rene, gli faccio aprire aprire tutto e amen.
I puristi della sicurezza saranno inorriditi: ma lo scopo di questo tutorial è far funzionare SmoothWall nella vita vera, dove bisogna giustificare le centinaia di Euro che ti chiede il provider ad ogni configurazione del router, e poi: il firewall c’è apposta, no?
Nel caso il router non faccia il NAT, dovreste avere 1 o più indirizzi IP pubblici attestati sulla porta ethernet del router, comunque che il router faccia o no il NAT è irrilevante, tanto SmoothWall ne fa un’altro.
SmoothWall usa un codice di colori molto intuitivo: GREEN (verde) è l’attributo della scheda di rete interna, quella cioè collegata allo switch/hub delle vostra rete locale, RED (rossa) è la scheda esterna, quella collegata al router. Se avete una rete sufficientemente complessa da richiedere server in DMZ, questi ultimi saranno collegati alla eventuale scheda ORANGE (arancione).
Lo schema (senza DMZ) sarà il seguente:
internet < -->router [A]< -->[R] SmoothWall [G] < --> switch rete
dove A=porta ethernet del router, R=porta ethernet pubblica di SmoothWall (RED), G=porta ethernet privata (GREEN).
Diamo dei valori di esempio, tanto per chiarezza:
A = 10.0.0.1 / 255.0.0.0
R= 10.0.0.2 / 255.0.0.0
G=192.168.0.1 / 255.255.255.0
la vostra rete locale = 192.168.0.x / 255.255.255.0 gateway=192.168.0.1, DNS del provider, se non ne avete in casa.
(Nota: questi valori presumono che il router faccia il NAT, perchè 10.0.0.1 è un indirizzo IP riservato alle reti locali. Se invece avete un indirizzo pubblico attestato sul router, usate quello per il resto del documento)
Procuratevi l’immagine ISO della distribuzione qui. Prelevate inolte tutti gli aggiornamenti disponobili per la vostra versione da qui. Utilizzate il vostro programma preferito per creare un CD dall’immagine ISO.
Adesso vi serve:
- un vecchio PC, un Celeron va benissimo, almeno 150MHz;
- un lettore CD IDE;
- un vecchio HD IDE, 540 Mb (si, 540 mega!) vanno benissimo se non usate il servizio proxy(*);
- almeno 32 Mb di RAM, consigliati 128;
- una scheda video qualunque;
- una tastiera ed un monitor, che potrete scollegare entrambi al termine dell’installazione;
- nessun mouse;
- almeno due schede di rete. Vanno bene quasi tutte le ethernet PCI, meglio se non recentissime. Io mi trovo bene con le schede basate su chipset RealTek 8139 e con le sempre ottime 3Com 3C905. Se riuscite, mettetene due diverse, vi fate un favore.
Ve lo dico qui, lo ripeterò dopo: l’installazione cancella TUTTI di dati sul disco fisso. Regolatevi di conseguenza.
Si spera che il vostro BIOS permetta il boot da CD, se cosè non fosse esiste una soluzione, vi rimando alla documentazione ufficiale, oppure potete scrivermi.
Fate quindi il boot dal CD, per installare il vostro sistema. Da adesso in poi parte l’installazione, l’nterfaccia è a caratteri, quindi userete la tastiera; i tasti da usare sono: TAB (per passare da un campo all’altro), SPAZIO (per premere un bottone), ENTER (conferma il campo, preme il bottone).
Dovreste vedere la schermata iniziale dell’installazione, leggete e confermate. Dovete poi scegliere la lingua ed il media di installazione, nel vostro caso CDROM.
Attenzione, vi viene ricordato che state per cancellare completamente TUTTO il contenuto di TUTTE le partizioni del disco. Non esiste modo per tornare indietro una volta confermato!.
Adesso si passa alla configurazione della scheda GREEN, tramite il tasto Probe. Dato che la vostra macchina ha due schede di rete, vi viene mostrata la prima scheda trovata: premete OK per associarla all’interfaccia interna (GREEN). Segnatevi il MAC address, se le due schede sono uguali! Vi verrà quindi richiesto l’indirizzo IP dell’interfaccia, stando al nostro esempio è: 192.168.0.1 con subnet mask 255.255.255.0. Potrete comunque cambiare indirizzo più tardi se necessario.
Una volta terminata la configurazione della scheda GREEN, il processo di installazione procede con la copia dei files di Linux e di SmoothWall sul disco fisso. Saranno necessari alcuni minuti, al termine il CDROM sarà espulso autimaticamente.
Nel frattempo collegate le diverse porte ehernet come da schema precedente, vi ricordo che il vostro switch di rete va collegato alla scheda GREEN, il router alla RED. Se le schede sono uguali, dovete trovare i MAC address (spesso sono scritti sulla scheda), oppure dovete andare a tentativi, il che è una scocciatura, ecco perchè è più semplice se le due schede sono diverse!
A questo punto l’installazione è completa, ma il sistema non è ancora configurato; il setup procederà automaticamente.
Vi verrà richiesto se volete caricare la configurazione precedentemente salvata su un floppy, premete “NO”.
Disabilitate ISDN e ADSL, perchè non riguardano il nostro esempio.
Il processo continua, rispondete alle diverse opzioni tenendo conto delle indicazioni trattate in dettaglio nei paragrafi seguenti.
Appare ora il menu di setup. Vedremo in dettaglio la configurazione.
Keyboard Mapping: scegliete il layout della tastiera che state utilizzando.
Hostname: date un nome al vostro firewall, lo potrete usare in alternativa all’indirizzo IP.
Web Proxy: se volete utilizzare il proxy del vostro ISP, questo è il posto ove inserirne l’indirizzo e la porta (fate riferimento alle istruzioni del provider).
ISDN e ADSL li saltiamo perchè non servono per la nostra configurazione.
Networking è la parte più importante, ha 4 sottomenu:
Network Configuration type: delle diverse opzioni a disposizione scegliamoGREEN+RED, cioè 2 schede di rete, una per la rete locale ed una per il collegamento ad internet.Drivers and card assignments: vi permette di assegnare un driver alla schedaRED; usate il tatstoProbe, e la vostra scheda esterna dovrebbe essere riconosciuta.Address Settings: in questo menu sceglieteStatice inserite l’indirizzo IP ed la subnet mask (seguendo il nostro esempio: 10.0.0.2/255.0.0.0).DNS and Gateway settings: inserite qui i DNS che il vostro provider vi ha fornito, e l’indirizzo del gateway, che corrisponde alla porta del router, nell’esempio 10.0.0.1
DHCP Server configuration abilita e configura il servizio DHCP server del vostro firewall, spiegare cosa è e come funziona non riguarda questo tutorial.
Setting user password è il passo finale dell’installazione di SmoothWall Express. Esistono tre utenti amministrativi:
root: è il classico di Linux, ha il controllo completo del sistema;setup: è l’utente che ha i privilegi per cambiare la maggior parte dei parametri di configurazione del sistema;admin: l’utente più utilizzato, permette l’amministrazione via browser.
L’utente dial non viene usato in questo esempio, serve per attivare la connessione nel caso avessimo un modem e non un router.
Da notare che root e setup sono due utenti Linux, tramite i quali è possibile loggarsi al sistema in locale o via SSH, mentre admin funziona solo dal browser. Se ci si logga al sistema come setup, il programma di setup parte automaticamente.
Dopo aver impostato le password l’installazione è terminata, ed il computer viene riavviato. Assicuratevi di non avere nè CD nè floppy inseriti. Dopo il reboot SmoothWall viene inizializzato ed è pronto per l’utilizzo, vedrete un classico prompt di login Linux.
A questo punto si può iniziare la configurazione tramite browser, il tutorial relativo è qui.
(*) 540 mega è il minimo consigliato dalla documentazione, mi ricordo di aver fatto installazioni su dischi moooolto più piccoli.
Fine Prima Parte.
Seconda Parte.
Commenti
71 risposte a “SmoothWall Tutorial – prima parte”
ho qualche problema con il settaggio di un vpn hai qualche esempio da darmi.
grazie
Dovresti essere un po’ pi� preciso….
Lo sto provando a casa e in ufficio… bel prodotto!
Ho avuto qualche problema usando 2 pc basati su K6-2 (1 a 400 e 1 a 450) a casa: si piantavano con un bel kernel panic. Sostituendo le ram sembrano a posto.
Certo che con un pentium 4 a 1000, 256 mb di ram e un hd da 20 gb va che � un piacere… (specie Squid!)
Mi sembra di ricordare che a suo tempo venne rilasciata una patch del kernel per quei processori, ma non sono sicurissimo. Ci credo che funziona bene con una macchina cos�….:-D
Beh, patch o no adesso sono 24 ore che è on senza problemi, e di traffico ne passa… 🙂 spero sia a posto. Mi preoccupa un po’ il log di snort…
In ufficio lo sto configurando ma il router che ho li’ già mi fa una sorta di dmz sugli ip esterni (16) e rompe le uova smoothwall. Mi sa che è meglio riconfigurarlo e far fare tutto al firewall… o sbaglio? Fino ad ora per far funzionare il tutto ho installato due schede di rete sulle macchine(win2k sigh!) che devono essere disponibili da internet… Apprezzati suggerimenti! (leggi aiuto!!!)
p.s. ma qui posso postare messaggi così lunghi?
1) i messaggi lunghi vanno benissimo…
2) togli subito quelle schede e metti su un’architettura come si deve… apri il router e fai fare tutto al firewall, sopratutto la DMZ.
Beh, che dire… hai perfettamente ragione ed era quello che volevo fare da tempo ma non è così immediato… 🙁
ah… ma è normale che smoothwall occupi quasi tutta la ram senza usare lo swap file???
Anche quelli che ho io presso clienti fanno cos�. Memoria 52% e swap a 0%.
Sono su da diversi mesi e vanno bene.
Stasera l’ho attivato in ufficio…
Dalle prove che ho fatto ogni tanto si disabilita il proxy, ma dipende dalle acl per filtrare i siti. Puoi darmi qualche dritta su squidguard? ho trovato un howto ed ho provato a casa ma pare che non vada… 🙁
… o meglio ora va, ma non filtra i siti…
Spiacente, mai usato il proxy. Non mi sono mai posto il problema, ma pensavo che il proxy di SmoothWall fosse solo proxy e cache, non filtering…
a me mi da’ un errore DURANTE L’INSTALLAZIONE tipo “no red interface”..che vuol dire?
Direi che non vede la scheda di rete, probabilmente non ha il driver. Prova a metterne una pi� vecchia…
Beh, fa un filtering “di base” basato su acl… squidguard e’ un plugin che “dovrebbe” lavorare meglio.. per ora a me non va.
Questo � il sito che ho trovato
http://www.lowth.com/sg4sw/
ma ora che leggo meglio e’ per la versione 1.0 gpl di smoothwall… 🙁
Sto cercando di capire come posso configurare il Port Forwarding per un mail server situato nelle Green Network, nel caso di router HDSL che fa NAT.
grazie
Gianluca ti ho risposto via mail
ciao o appena installato questo smoothwall a norma a configurarlo non ci o messo tanto ma
o un piccolo probblema io devo fare due smoothwall cioe in uno ce collegato un pc nell’altro ce collegato un altro pc i due smoothwall sono collegati assieme la domanda e come posso far vedere i due pc premetto internet mi funziona su entrambi i pc 1 smmothwall a un modem isdn si sono aggiornati tutti e due ma non riesco a far comunicare i due pc se puoi rispondermi ti ringrazzio
Fabio, nella sezione 2.7 del manuale di amministrazione http://downloads.smoothwall.org/pdf/2.0/admin.pdf
E’ spiegata la configurazione in dettaglio. Dovrebbe essere semplicissimo. Inoltre sul forum del supporto trovi moltissmi thread riguardanti la VPN.
grazie adesso provo poi ti faccio sapere grazie per il link ci sentiamo
ciao sono ancoraio o provato ma di inglese non ne so molto o tradoddo il testo con un traduttore ma non me la tradotto molto bene ci sono delle cose che non capisco
se uoi aiutarmi ti ringrazio
ciao ho un problema..praticamnte a me non fa il boot!!!
e poi quello che scarico dal sito della smoothwall non e un’mmagine ma solo una cartella di file compressi.
devo masterizzare quelle???
@Luigi: no, masterizza direttamente l’immagine iso (33.78MM or 45.56MB)… mi raccomando, con l’apposita funzione del prog x masterizzare (di solito “masterizza Immagine ISO”). Se copi solo il contenuto, il cd non far� il boot.
Ciao Andrea,
ho un problema…vediamo se sai aiutarmi.
Ho un collegamento a internet ADSL tramite un router Alcatel un po “strano”.
Mi spiego meglio: questo router � trasparente e se lo collego alla scheda di rete del mio portatile devo impostare come ip della scheda di rete l’ip fisso dato dal provider e come gw lo stesso ip con l’ultimo numero cambiato.
Il tutto su win xp funziona, ma se faccio la stessa configurazione nella RED di SW quest’ultimo non va in internet, non riesce nenache a pingare il router.
Hai qualche soluzione per poter impostare un ip pubblico sulla red?
Grazie
CIAO
Massimo
@Massimo: � molto semplice. Non � un router, ma un modem ethernet. Devi quindi seguire procedure diverse. Non tutti sono supportati da SW, ma forse gli Alcatel sono tra quelli. Non ho mai avuto modo di provare, ma nei manuali c’� spiegato come fare.
Ciao,
ho installato Smoothwall e devo dire che � veramente notevole.Vorrei sapere se esiste un modo per bloccare agli utenti la visualizzazione di alcuni siti.Grazie.
@Andrea, se cerchi nei forum di SW, ci sono dei mod per aggiungere le funzioni che cerchi…
Ciao,
non � che mi daresti un’indicazione,perch� ho cercato ma non trovo nulla.Grazie.
@Andrea: qui: http://community.smoothwall.org/forum/viewtopic.php?t=2873
trovi l’eleno di alcuni mod, forse questo
http://www.urlfilter.net/
� quello che cerchi…
Grazie mille.
Funzia,funzia !!!!grazie ancora.Ciao
Ciao
� il primo messaggio che invio…mi sto accingiendo all’installazione di SW e mi sono letto praticamente tutti i messaggi possibili. Ho un router 3Com 812office connect e una connessione adsl che usa PPPoA per connersi all ISP.
La IP � dinamica. Di che tipo di configurazione ho bisogno? La zona red del SW che sar� la “proprietaria” della ip pubblica aggiornera in automatico la ip? se mancassero dati ve li mander� volentieri
ciao
Mirko
La RED di SW non sar� affatto “proprietaria” dell’ IP pubblico. Fai fare un NAT al router, e assegna alla ethernet del router (connessa alla RED), un IP privato di classe diversa dalla rete locale.
La tua situazione � esattamente quella descritta nel post. Se qualcosa � poco chiaro fammelo sapere, per il resto basta seguire pedestremente le istruzioni che ho dato.
Ciao,
volevo sapere se posso fare un NAT statico in outbound…nel senso che volevo far uscire un IP privato sulla verde con un IP pubblico sulla rossa.
Ho visto che le regole dell ip forwarding permettono solo un NAT in senso inverso (da rossa a verde) mentre io avrei bisogno che un mio IP privato esca su Internet con un ben assegnato IP pubblico (che per� sia diverso da quello della NIC rossa…)
Ti ringrazio anticipatamente…
Roberto
Mitico Beggi!! Ti ho ringraziato anche in privato, ma ora lo faccio anche pubblicamente. All’epoca, la tua illuminata guida ha salvato questo povero sistemista da un’esaurimento!! 😀 😀
Nel frattempo ho scoperto anche IpCop, che essendo modulare, � maledettamente efficiente! 🙂
Ciao.
Volendo filtrare due reti differenti (es. una basata su 192.168.1 e l’altra su 192.168.5) come si pu� fare per configurare due schede GREEN?? E’ possibile questo?
Andrea: non con la configurazione “out of the box”. Non escludo possano esistere dei mod, ma la versione normale supporta solo una GREEN
In ufficio uso da ormai 2 anni smoothwall su un pc, per sicurezza ogni sera comunque lo spengo, ultimamente mi da dei problemi. Il pc non riesce a fare il mount del filesystem e devo reinstallare tutto, sta cosa mi succede ogni 2 mesi circa. E’ possibile secondo voi, o almeno esistono delle informazioni in merito per Creare un’installazione di Smoothwall direttsamente su CD?
Paolo: secondo me � un problema hardware, io ho avuto SW accesi per mesi senza il minimo problema….
Salve,
uso ormai da qualche mese smoothwall senza problemi, ora ho messo insieme un vecchio PII che mi fa da server FTP.
A monte di tutto ho un router firewall zyxel 650H, ho aperto la porta 21 del firewall del router e ho nattato verso l’indirizzo lan del server ftp, ho poi aperto tramite networking la porta 21 di smoothwall, ma quando ho provato la connessione questa mi viene rifiutata. Dove commetto l’errore e cosa posso fare? C’� da dire che ho provato lo stesso server da un amico ho eseguito il forward aprendo la porta 21 e rindirizzando verso l’ip del server e tutto funzina correttamente.
in attesa di una sua gentile risposta la saluto cordialmente.
adam
Adam, mi pare ci siano dei problemi a pubblicare FTP a causa della modalit� attiva/passiva. Probabilmente va aperta anche la TCP/21. Su Google troverai certamente la soluzione. A titolo di prova, io pubblicherei un altro servizio per vedere se va.
Salve,
ho letto la sua risposta e la ringrazio, ho aperto tutte le porte tcp 21 sia sul router in entrata e in uscita sia quella in entrata di smoothwall ma ho lo stesso problema � possibile che a questo punto sia il browser. Ho provato a disbilitare il firewall del router e lasciare tutto a smoothwall ma � uguale, d’altro canto provando da un amico e parendo il suo router firewall netgear tutto funziona con il server ftp devo solo far scaricare dei dati e non caricarli questo lo faccio on site direttamente.
Ringraziando ancora rinnovo i miei saluti.
Adam
Adam, mi scusi nella risposta ho scritto TCP/21 ma intendevo TCP/22. Faccia una prova aprendo anche questa porta. E’ evidente che c’� qualcosa che blocca il traffico. Potrebbe essere utile conreollare i log del router e quelli di SmoothWall, magari via syslog.
salve a tutti ho letto quanto scritto sopra e sono veramente colpito di quanto si parla perch� � interessantissimo e volevo farvi una domanda.
in pratica io ho un pc (pc1) con winxp al quale � collegato un modem dsl (USB) per collegarmi ad internet. ho un altro pc (PC2) in un altra stanza e li ho messi entrambi in rete riuscendo ad utilizzare internet anche su questo pc2. Volendo istallare SW sul pc1 � possibile farlo dato che non ho ne router ne nulla ma c’� solo il modem adsl USB (credo sia alcatel) grazie a tutti
Ciao Andrea, a parte i complimenti per la chiarezza nelle tue spisgazioni tecniche, volevo conoscere se il prodotto permette di fare anche un filtro sulla posta e sui documenti o files scaricabili via internet ( antivirus??? ) e se vi sono aggiornamenti rilaciati frequentemente dalla casa produttrice.
Grazie
Iari, gli aggiornamenti vengono rilasciati regolarmente, o almeno lo erano l’ultima volta che ho controllato. Per l efunzioni aggiuntive c’� un sito per i “mod” a smoothwall, si trova di tutto e di pi�…
Guarda nei commenti precedenti per alcuni link.
Ciao Andrea,vorrei sapere che porta devo aprire per poter utilizzare putty su SW.
Grazie.
Paolo, PuTTY � un client SSH. Il server SSH lavora sulla porta TCP/22.
interessante tutto il trattato bravo
avrei una domanda magari fuori dal seminato
� possibile che non si possa riutilizzare un router dsl di recente fabbricazione interfacciandolo con l’hag di fastweb?
io posseggo un cnet router dsl da quando sono passato a fastweb non me ne faccio piu nulla..
esiste la remota possibilit� di poterlo riutilizzare , anche perch� farebbe comunque anche da primitivo firewall?
se pensi di si ti posso mandare il manuale con le specifiche ?
grazie comunque per il tuo tutorial se non trovero una alternativa meno ingombrante (pc che fa da server/router) credo proprio che mi cimentero se gundo il tuo tutorial