Andrea Beggi

Nulla è impossibile per colui che non deve farlo.

SmoothWall Tutorial – prima parte

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

(Aggiornato:qui la seconda parte.)

Questo è un tutorial per installare SmoothWall Express 2.0, un firewall open source, su cui trovate maggiori info in questo mio post. In pratica si tratta di un PC con 2 o più schede di rete, posto tra la rete locale ed il router. Il sistema operativo è una speciale distribuzione Linux adattata allo scopo, completamente gestibile da remoto tramite un browser.

Prerequisiti:

  • Saper masterizzare una immagine ISO;
  • Saper installare una scheda di in un PC;
  • Conoscenza del protocollo TCP/IP;
  • Familiarità con le reti locali;
  • Fondamenti di sicurezza informatica.

Spiegare i come ed i perchè dei firewall esula dagli scopi di questo documento, ma facciamo comunque una pianificazione del nostro intervento.
Assumiamo che abbiate un router ADSL, sarà stata vostra cura configurarlo in modo che apra le giuste porte TCP. Meno ne aprite più sicuri siete. Un’altro approccio è aprire tutto e poi fidarsi del firewall, decidete voi.
Se il router è di proprietà, e quindi ci posso smanettare, mi apro di volta in volta le porte che servono. Se è in comodato d’uso e non ho la password, visto che ogni volta che lo toccano vogliono un rene, gli faccio aprire aprire tutto e amen.
I puristi della sicurezza saranno inorriditi: ma lo scopo di questo tutorial è far funzionare SmoothWall nella vita vera, dove bisogna giustificare le centinaia di Euro che ti chiede il provider ad ogni configurazione del router, e poi: il firewall c’è apposta, no?
Nel caso il router non faccia il NAT, dovreste avere 1 o più indirizzi IP pubblici attestati sulla porta ethernet del router, comunque che il router faccia o no il NAT è irrilevante, tanto SmoothWall ne fa un’altro.
SmoothWall usa un codice di colori molto intuitivo: GREEN (verde) è l’attributo della scheda di rete interna, quella cioè collegata allo switch/hub delle vostra rete locale, RED (rossa) è la scheda esterna, quella collegata al router. Se avete una rete sufficientemente complessa da richiedere server in DMZ, questi ultimi saranno collegati alla eventuale scheda ORANGE (arancione).
Lo schema (senza DMZ) sarà il seguente:
internet < -->router [A]< -->[R] SmoothWall [G] < --> switch rete
dove A=porta ethernet del router, R=porta ethernet pubblica di SmoothWall (RED), G=porta ethernet privata (GREEN).
Diamo dei valori di esempio, tanto per chiarezza:
A = 10.0.0.1 / 255.0.0.0
R= 10.0.0.2 / 255.0.0.0
G=192.168.0.1 / 255.255.255.0
la vostra rete locale = 192.168.0.x / 255.255.255.0 gateway=192.168.0.1, DNS del provider, se non ne avete in casa.
(Nota: questi valori presumono che il router faccia il NAT, perchè 10.0.0.1 è un indirizzo IP riservato alle reti locali. Se invece avete un indirizzo pubblico attestato sul router, usate quello per il resto del documento)

Procuratevi l’immagine ISO della distribuzione qui. Prelevate inolte tutti gli aggiornamenti disponobili per la vostra versione da qui. Utilizzate il vostro programma preferito per creare un CD dall’immagine ISO.

Adesso vi serve:

  • un vecchio PC, un Celeron va benissimo, almeno 150MHz;
  • un lettore CD IDE;
  • un vecchio HD IDE, 540 Mb (si, 540 mega!) vanno benissimo se non usate il servizio proxy(*);
  • almeno 32 Mb di RAM, consigliati 128;
  • una scheda video qualunque;
  • una tastiera ed un monitor, che potrete scollegare entrambi al termine dell’installazione;
  • nessun mouse;
  • almeno due schede di rete. Vanno bene quasi tutte le ethernet PCI, meglio se non recentissime. Io mi trovo bene con le schede basate su chipset RealTek 8139 e con le sempre ottime 3Com 3C905. Se riuscite, mettetene due diverse, vi fate un favore.

Ve lo dico qui, lo ripeterò dopo: l’installazione cancella TUTTI di dati sul disco fisso. Regolatevi di conseguenza.

Si spera che il vostro BIOS permetta il boot da CD, se cosè non fosse esiste una soluzione, vi rimando alla documentazione ufficiale, oppure potete scrivermi.

Fate quindi il boot dal CD, per installare il vostro sistema. Da adesso in poi parte l’installazione, l’nterfaccia è a caratteri, quindi userete la tastiera; i tasti da usare sono: TAB (per passare da un campo all’altro), SPAZIO (per premere un bottone), ENTER (conferma il campo, preme il bottone).
Dovreste vedere la schermata iniziale dell’installazione, leggete e confermate. Dovete poi scegliere la lingua ed il media di installazione, nel vostro caso CDROM.
Attenzione, vi viene ricordato che state per cancellare completamente TUTTO il contenuto di TUTTE le partizioni del disco. Non esiste modo per tornare indietro una volta confermato!.

Adesso si passa alla configurazione della scheda GREEN, tramite il tasto Probe. Dato che la vostra macchina ha due schede di rete, vi viene mostrata la prima scheda trovata: premete OK per associarla all’interfaccia interna (GREEN). Segnatevi il MAC address, se le due schede sono uguali! Vi verrà quindi richiesto l’indirizzo IP dell’interfaccia, stando al nostro esempio è: 192.168.0.1 con subnet mask 255.255.255.0. Potrete comunque cambiare indirizzo più tardi se necessario.
Una volta terminata la configurazione della scheda GREEN, il processo di installazione procede con la copia dei files di Linux e di SmoothWall sul disco fisso. Saranno necessari alcuni minuti, al termine il CDROM sarà espulso autimaticamente.

Nel frattempo collegate le diverse porte ehernet come da schema precedente, vi ricordo che il vostro switch di rete va collegato alla scheda GREEN, il router alla RED. Se le schede sono uguali, dovete trovare i MAC address (spesso sono scritti sulla scheda), oppure dovete andare a tentativi, il che è una scocciatura, ecco perchè è più semplice se le due schede sono diverse!

A questo punto l’installazione è completa, ma il sistema non è ancora configurato; il setup procederà automaticamente.
Vi verrà richiesto se volete caricare la configurazione precedentemente salvata su un floppy, premete “NO”.
Disabilitate ISDN e ADSL, perchè non riguardano il nostro esempio.
Il processo continua, rispondete alle diverse opzioni tenendo conto delle indicazioni trattate in dettaglio nei paragrafi seguenti.

Appare ora il menu di setup. Vedremo in dettaglio la configurazione.

Keyboard Mapping: scegliete il layout della tastiera che state utilizzando.
Hostname: date un nome al vostro firewall, lo potrete usare in alternativa all’indirizzo IP.
Web Proxy: se volete utilizzare il proxy del vostro ISP, questo è il posto ove inserirne l’indirizzo e la porta (fate riferimento alle istruzioni del provider).
ISDN e ADSL li saltiamo perchè non servono per la nostra configurazione.
Networking è la parte più importante, ha 4 sottomenu:

  • Network Configuration type: delle diverse opzioni a disposizione scegliamo GREEN+RED, cioè 2 schede di rete, una per la rete locale ed una per il collegamento ad internet.
  • Drivers and card assignments: vi permette di assegnare un driver alla scheda RED; usate il tatsto Probe, e la vostra scheda esterna dovrebbe essere riconosciuta.
  • Address Settings: in questo menu scegliete Static e inserite l’indirizzo IP ed la subnet mask (seguendo il nostro esempio: 10.0.0.2/255.0.0.0).
  • DNS and Gateway settings: inserite qui i DNS che il vostro provider vi ha fornito, e l’indirizzo del gateway, che corrisponde alla porta del router, nell’esempio 10.0.0.1

DHCP Server configuration abilita e configura il servizio DHCP server del vostro firewall, spiegare cosa è e come funziona non riguarda questo tutorial.
Setting user password è il passo finale dell’installazione di SmoothWall Express. Esistono tre utenti amministrativi:

  • root: è il classico di Linux, ha il controllo completo del sistema;
  • setup: è l’utente che ha i privilegi per cambiare la maggior parte dei parametri di configurazione del sistema;
  • admin: l’utente più utilizzato, permette l’amministrazione via browser.

L’utente dial non viene usato in questo esempio, serve per attivare la connessione nel caso avessimo un modem e non un router.
Da notare che root e setup sono due utenti Linux, tramite i quali è possibile loggarsi al sistema in locale o via SSH, mentre admin funziona solo dal browser. Se ci si logga al sistema come setup, il programma di setup parte automaticamente.

Dopo aver impostato le password l’installazione è terminata, ed il computer viene riavviato. Assicuratevi di non avere nè CD nè floppy inseriti. Dopo il reboot SmoothWall viene inizializzato ed è pronto per l’utilizzo, vedrete un classico prompt di login Linux.

A questo punto si può iniziare la configurazione tramite browser, il tutorial relativo è qui.

(*) 540 mega è il minimo consigliato dalla documentazione, mi ricordo di aver fatto installazioni su dischi moooolto più piccoli.

Fine Prima Parte.
Seconda Parte.

71 Commenti

Andrea | #

Fabio: non credo ne farai nulla. L’interfaccia WAN di un router ADSL destinata ad essere connessa ad una linea telefonica ADSL, non ad uno hub/switch. In realt quello che comunemente si chiama Router ADSL non altro che l’unione di un modem ADSL ed un router propriamente detto.
L’unica cosa che puoi fare se non vuoi mettere un PC che fa da firewall usare un’appliance typo ZyXel ZyWALL 2 o simile.

Emanuele | #

Dunque:

Il mio router impostato cos:

Router Zyxel Prestige 650h IP 192.168.1.1,Subnet Mask 255.255.255.0

Scheda di Rete *GREEN*:192.168.0.1,Subnet 255.255.255.0

Scheda di rete *RED*: 10.0.0.1,Subnet Mask 255.0.0.0

Notebook IP 192.168.0.15,Subnet Mask 255.255.255.0
Deafult Gateway:192.168.0.15

fattibile

Grazie Andrea

Emanuele | #

Dimenticavo riguardo alla scheda di rete *RED* ho impostato come DNS Primary 80.20.6.36
DNS Secondary: 212.212.112.112
Default gateway:192.168.1.1 Sarebbe ip del router

Andrea | #

Emanuele, non va bene, lo schema questo:
Router: 192.168.1.1
Scheda RED: 192.168.1.2 con gateway 192.168.1.1
Scheda GREEN: 192.168.0.1
Notebook: 192.168.0.15 con gateway 192.168.0.1
tutte le subnet mask sono 255.255.255.0
La porta di rete del router va collegata alla RED. La GREEN va collegata alla rete locale.

Emanuele | #

Ok ho fatto come dicevi tu,non riesco ancora a navigare con il notebook(adesso sto sul PC fisso che sempre collegato direttamente al router appena potro collegher anche il fisso all’HUB)per riesco ad entrare all’inetrfaccia mediante http://192.168.0.1:81 per la gestione tramite browser,forse devo settare qualche parametro da li pure?

P.S. se hai Messenger possiamo parlare da li

Grazie andrea per la tue disponibilit

Emanuele | #

A quando pare ho risolto,ho controllato bene la configurazione sto navigando alla grande,l’unico dubbio che mi sorge che dall’interfaccia del borwser mi appare la scritta “Serial Number Invalid” ma non che il firewall smette di fungere in questa maniera,la versione che ho messo la corporate Server 3.0

sal | #

Uso smoothwall express 2 con tutti gli aggiornamenti e con addon urlfilter.

Tutto funziona egregiamente sulla mia la mia lan (green)
ma non sono riuscito a disabilitare l’utilizzo msn messenger
anche se chiudo le porte 1863 e 443 funziona sempre.
Ho tentato a disabilitare tutta la subnet di msft 207.46.110.0/24 ma nulla messenger funziona sempre !!!!!
ho disabilitato tutti i domini msn.it hotmail.it hotmail.com
msn.com
ma invano … mi puoi aiutare grazie

Nicola | #

vorrei avere un’informazione…io ho un modem adsl router…vorrei sapere se necessario aprire delle porte sul router per utilizzare messenger in modo da velocizzare lo scambio di file…e se si quali sn…grazie!

Mauro | #

Articolo interessante, grazie !
Ho un paio di problemi (premetto che uso Ipcop e non smothwall, ma praticamente è quasi la stessa cosa).
Come green ho 192.168.0.2 e come red ho 192.168.1.2. L’indirizzo del router (linksys wag54g) è 192.168.1.1.
i client hanno ip 192.168.0.x e DG 192.168.0.2 così come 192.168.0.2 è il DNS.
Sia per collegarmi via web che tramite putty o winscp ad ipcop devo usare come ip 192.168.1.2. e’ normale questo ? Può essere dovuto al fatto che le due schede di rete su ipcop sono identiche (anche se nell’installazione prima me ne fa configurare una e poi l’altra per cui confusione non ci dovrebbe essere) ?

enzo | #

con smoothwall è possibile gestire i nat sull’interfaccia RED?
Inoltre posso gestire il FW dall’ interfaccia orange al posto di gestirla da quella green?
I file di conf di iptable dove vengono scritti?
Per il resto il firewall sembra robusto… ho provato a buttarlo giù con nessus…:-( ma nulla di fatto ;-).
Grazie

Andrea | #

Ciao Andrea, ho installato smotwall su un amacchian… c’è la possibilità di installare un plugin ( anche a pagamento) per far andare gli utenti della mia LAN solo su alcuni siti? Grazie 1000 e complimenti per la guida.. davvero fantastica! 😉
Saluti

Anubis | #

Una distribuzione che fa da firewall, molto simil a SmoothWall, è IP Cop…

Io uso quella da quasi un’ anno e mi trovo bene…
Una domanda, ma SmoothWall ha Squid integrato ?
E se si, si può configurare direttamente dall’ interfaccia Web ?
Se è ancora si: un P 200MHz con 64 MB di RAM, 10 GB di HD, due schede ethernet, una per la rete interna e una per quella esterna (che fnziona egregiamente con IP Cop), ce la fa a gestire Squid oltre il firewall, e lavorare bene senza rallentamenti (l’ HD dovrebbe bastare…ma mi preoccupa il resto…) ?
Grazie in anticipo !

Phoenix | #

ciao.sono nuovo in questo campo informatico.
sto provando a creare il firewall hardware con smoothwall.
io ho alice 4mb e il mio modem ethernet è quello rotondo nero della pirelli.pensi che posso riuscire a far funzionare tutto alla perfezione oppure devo comprare un altro modem/router??? grazie.

Luca | #

Ho installato smootwall su un pIII, ma ho alcuni problemi.
1) Non mi apre alcuni siti tipo google, yahoo ecc
2) Accedo all’interfaccia grafica con IE alla porta 81, ma nn riesco ad entrare con un ftp e con telnet, mi puoi indicare le porte e se ne devo aprire anche su Smoothwall?

Grazie

marco fardelli | #

riprendo una domanda già fatta:

Uso smoothwall express 2 con tutti gli aggiornamenti

Tutto funziona egregiamente sulla mia la mia lan (green)
ma non sono riuscito a disabilitare l’utilizzo msn messenger

mi puoi aiutare grazie

Alessandro | #

Ciao, grazie dei tuoi articoli sempre molto utili!
Sempre a proposito di firewall, il miio zyxel mi blocca l’accesso a Hotmail, che porte devo aprire per permettere ad hotrmail di funzionare?

grazie
Alex

claudio | #

Ciao, ho un problema non so se ne sei a conoscenza sto provando a installare smoothwall 3.0 su un pc è un compaq deskpro en series sff
pentium II 233mhz 66 bus
ram 128 mb 100 mhz
hard disk 13 gb
scheda video onboard
1 rete onboard
1 rete 3com pci
nel bios e nell’avvio riconosce tutto, avvia il cd e nella schermata di installazione premo invio e mi da:
uncompressing linux…
crc error…
system halted
ho letto su altri siti che danno questo problema anche i distro client, ho provato a cambiare la ram e il processore ma da lo stesso problema e ho provato anche su un 733 mhz 133 bus,
128 mb ram 133 mhz, scheda madre abit apollo, stesso risultato.
Se hai qualche idea di cosa possa essere fammi sapere,
grazie claudio

lorenzo | #

messenger è fantastico

mihai | #

io uso un portatile a 2.26Ghz cpu 1gb ram e 2gb ssd(hdd). il probla e che la scheda interna intel pro la vede ma la scheda pcmcia realteck non la vede. come mai il pc funziona con altri sistemi tipo questo come ipcop,zeroshell, la scheda va pure su windows allora non vedra i driver o le interfacce pcmcia del computer come posso fare?

Alessio | #

Buona sera e complimenti x l’aiuto che date su questo blog.
vorrei anche provare questa formidabile distribuzione , solo che ho
alcuni dubbi e spero che voi me li possiate chiarire.
In casa ho un piccolo firewall sempre con una mini-distribuzione
chiamata ENDIAN e vorrei passare ad smoothwall in quanto mi è stato
detto che è molto + leggera.
Voglio sapere perfavore se una volta installato il tutto ,

1)l ‘ interfaccia web è in italiano ?
2)c’e la possibilita di aggiungere , tramite gli addons un antivurs?

Peppe Napoli | #

Buonasera a tutti, sapete se è possibile o se c’è un add-on x filtrare le pagine web x ip Grazie