Questa è la continuazione del tutorial su SmoothWall Express 2.0. Qui trovate un’introduzione, mentre questa è la prima parte.
Dopo la partenza di SmoothWall, useremo un PC della rete locale per la configurazione, tramite un browser. Riguardate gli indirizzi IP del tutorial: l’interfaccia GREEN è stata battezzata 192.168.0.1. Il server http di SmoothWall ascolta sulla porta 81, perciò puntate il browser a: http://192.168.0.1:81
Se l’installazione e la configurazione di base sono andate a buon fine, i PC della vostra rete locale dovrebbero già essere collegati ad Internet.
Tuttavia ci sono alcune operazioni che dovete compiere; vi verrà richiesto nome utente e pasword: usate le credenziali dell’utente admin
che avete definito durante l’installazione.
Come prima cosa andate a maintenance->updates
, e aggiornate la lista degli aggiornamenti disponibili premendo il relativo pulsante. Scaricateli ed installateli in sequenza. Potrebbe essere necessario riavviare SmoothWall alcune volte.
Vediamo nel dettaglio i diversi menu dell’interfaccia di amministrazione:
- control
- home – pagina principale, da qui potete controllare la versione del prodotto e l’uptime. Se non aggiornate da molto tempo, un messaggio vi ricorderà di farlo.
- credits – credits e licenze.
- about
- status – controllate quali servizi sono attivi sul firewall.
- advanced – informazioni dettagliate sulla memoria in uso e configurazione di partizioni, inode, uptime, interfacce di rete, routing, moduli e versione del kernel.
- traffic graph – grafici basati sulle statistiche di traffico delle interfacce di rete.
- services
- web proxy – da qui potrete abilitare e configurare il servizio proxy. Tra le varie opzioni, la possibilità di attivare il proxing traparente: senza configurare nulla sui client tutto il traffico è automaticamante proxato, molto comodo.
- dhcp – configurazione e abilitazione del servizio DHCP.
- dynamic dns – se non avete un indirizzo IP fisso, potete utilizzare uno dei numerosi servizi che vi permettono di essere comunque raggiungibili dall’esterno. Vi consiglio DynDNS, che funziona molto bene.
- intrusion detection system – abilitate SNORT, un IDS che riconosce i tentativi di accesso che sfruttano le falle di sicurezza più note. Serve solo per tenere un log dei tentativi e correre ai ripari nel caso ce ne fosse bisogno. La sicurezza è comunque assicurata dalle regole di forwarding definite più avanti.
- remote access – selezionate entrambe le checkbox, se volete gestire il computer sul quale gira SmoothWall via SSH. E’ molto comodo perchè potete fare tutta la gestione da remoto senza connettere tastiera e monitor al firewall. Più avanti troverete una applet java, oppure potete usare uno dei tanti client SSH disponibili in rete, ad esempio PuTTY.
- time – cambiate il fuso orario, impostate l’ora e configurate i server NTP per la sincronizzazione automatica dell’ora da internet. E’ importante avere data e ora accurati per poter interpretare correttamente i log del sistema.
- networking
- port forwarding – configurazione del port forwarding delle porte TCP, dall’esterno verso le porte TCP dei PC della LAN o della DMZ. L’utilizzo è molto semplice
- external service access – per permettere l’accesso dall’esterno a servizi che girano su SmoothWall.
- dmz pinholes – da questa pagina potete configrare l’accesso alla LAN da DMZ, solo per determinate porte e host. Può essere utile nel caso il server in DMZ abbia bisogno di accedere alla LAN, ad esempio un sito dinamico hostato in DMZ potrebbe interrogare un database in LAN.
- ppp settings – non usato nel nostro esempio, serve per configurare l’accesso ad internet via PPP, PPP over ATM o PPP over Ethernet.
- ip block – potete blacklistare uno o più indirizzi IP.
- advanced – configurazione di ICMP, IGMP, UPnP, SYN cookies e traffico multicast, attivate tutto tranne UPnP. Il vostro firewall sarà invisibile dall’esterno e non risponderà alle richieste di
ping
.
- vpn
- control – SmoothWall può stabilire connessioni VPN con altri SmoothWall, oppure con endpoint FreeS/WAN compatibili.
- connections – e da qui vengono configurate le connessioni. Ciò esula dagli scopi del tutorial, ma potete capire dall’interfaccia come sia semplice. La parte complicata è il testing.
- logs – questa linguetta contiene tutte le sezioni dedicate ai log del sistema: sono molti e dettagliati.
- other
- web proxy
- firewall
- intrusion detection system
- tools
- ip information – whois su indirizzi IP o domini.
- ip tools – ping e traceroute.
- shell – se non volete usare un client, potete collegarvi alla console del firewall via SSH per mezzo di questa applet java. Ricordatevi di attivare il servizio ssh da services –> remote access.
- maintenance
- updates – per scaricare ed installare gli aggiornamenti del sistema. Inoltre visualizza lo storico degli aggiornamenti installati.
- modem – nel caso si usi un modem per la connessione, qui trovate la configurazione, sia per PSTN che ISDN.
- alcatel speedtouch usb adsl firmware upload – se avete un modem USB ADSL Alcatel Speedtouch, qui potete aggiornare il firmware dell’apparecchio.
- passwords – gestione delle password degli utenti admin e dial.
- backup – per salvare la configurazione su un floppy, per poter ripetere rapidamente l’installazione.
- shutdown – per spegnere o riavviare SmoothWall.
Il kernel di SmoothWall viene costantemente aggiornato. Attualmente il firewall usa iptables. Dopo aver configurato le regole di accesso, potete controllare la configurazione in dettaglio con il comando “iptables -L”, da impartire nella console di sistema. Se siete abbastanza bravi potete anche modificare le regole “a mano”, ma attenzione a salvare tutto, perchè la configurazione viene sovrascritta ogni volta che fate una modifica alle regole di accesso utilizzando l’interfaccia via browser.
Commenti
168 risposte a “SmoothWall Tutorial – seconda parte”
SW permette la configurazione via http, all’indirizzo https://[ip di sw o nome host sw]:441.
Che regole devi impostare?
ALLORA, HO INSTALLATO UN FIREWALL SMOOTWALL, ECCO LA MIA NECESSITA’ HO UN ADSL CON 8 IP PUBBLICI, AD OGNI IP CORRISPONDE UN SERVER CHE OFFRE SERVIZI (WEBSERVER, MAIL SERVER) COME RENDO ACCESSIBILI DA INTERNET QUESTI SERVER? MI SERVER ABILITARE LE PORTE E “TRASLARE” GLI INDIRIZZI IN INDIRIZZI PRIVATI…QUALCHE SUGGERIMENTO?
GRAZIE.
and: � inutile che ti dica qui quello che puoi trovare scritto meglio sul manuale di SW…
ciao.. ho un problema.. (che tra parentesi direi che � una cavolata da risolvere) per� ci sto diventando matto.
Ho installato SW da pochi giorni, e non ho avuto problemi finch� non ho provato a connetterla ad internet.
SW sta tra il router e lo switch, a cui sono connessi 10 pc. riesco a pingare tutti i computer all’interno della rete per� non riesco ad andare in internet n� con SW n� con i computer locali. La red � impostata come 10.0.0.251 mentre la green come .250.. ho provato a smanettare un po’ con i file di configurazione della rete da shell ma nn ho risolto nulla.. come faccio a far uscire il firewall su internet?
ok.. come non detto.. ho risolto.
Si era autoimpostato da solo come dns e aveva cambiato la subnet..
Seve, le due interfacce RED e GREEN devono essere su due sottoreti diverse, come specificato qui: http://www.andreabeggi.net/2004/09/03/smoothwall-tutorial/
Ciao,
sono giorni che ci sbatto la testa ma questa volta temo proprio di essermi incagliato! 🙁
Devo collegare due reti locali attraverso internet con una classica VPN. Nessun problema se attivo la VPN tra i due router degli uffici (IPSec), ma se metto dietro ad uno dei due router IPCop, niente da fare!
Il problema penso sia nella configurazione di IPCop, pero’ non riesco proprio a capire dove sto sbagliando…
BTW, tutti gli altri servizi di IPCop funzionano alla perfezione, l’unico problema e’ con sta “maledetta” VPN!
Consigli da darmi?
Grazie,
Paolo
Paolo, IPCop non l’ho mai provato, ma credo sia simile a SW per la VPN. Prova ad attivare syslog per vedere la diagnostica dei firewall che dice. Naturalmente hai inoltrato le porte corrette verso i firewall, vero?
Porte corrette verso i firewall? Cosa intendi?
Mi fai sentire molto sprovveduto…
…in realta’ lo sono! 😉
Il router a monte di IPCop e’ “aperto” e tutti i protocolli e tutte le porte dovrebbero essere disponibili sulla interfaccia red di IPCop. Su IPCop, ho poi impostato il port forwarding per il mail server…
…c’e’ qualche piccolo particolare di cui non ho tenuto conto?
🙁
Ciao, Paolo
Intendo: ok, il router � “aperto”, assicurati che inoltri tutto il traffico TCP e UDP verso la RED, altrimenti non funge.
Se ho capito bene IPCop sta gi� inoltrando la TCP/25 verso il tuo mail server, quindi assicurati di non avere configurazioni “strane” sul router.
Se sei sicuro che i router sono a posto, concentrati sulla configurazione della VPN.
I subnet privati sulle due reti, sono diversi?
Di strano non sembra esserci niente sul router, ma cmq non funge! Se invece tolgo di mezzo IPCop e resto in una situazione router-internet-router la VPN subito prende vita…
Anche i subnet sono a posto, sembrerebbe un problema di differenti “dialetti” di IPSec, d’altra parte i 2 router sono della stessa marca (stesse finestre di dialogo e stesse opzioni) mentre IPCop ha una maschera di configurazione IPSec molto diversa con opzioni diverse.
A livello di impostazione dei parametri della VPN (dal lato dove c’e’ IPCop tanto per intenderci), devo mettere i valori di Subnet della Green o della Red? Ho gia’ provato in tutti e due i modi, ma almeno con qualche dritta inizio ad escludere tutto cio’ che non va bene e che per disperazione ho provato!
ALT! Non avevo capito che IPCop fosse uno solo, pensavo ne avessi due. E’ moooolto difficile integrare IPSec diversi, io mi ci sono picchiato e non ne sono venuto fuori. O usi i due router, e lasci un IPCop a fare solo il firewall, oppure metti un’altro IPCop dall’altra parte. IPCop � basato su Swan, se non sbaglio, quindi cerca documentazione riguardo l’integrazione del tuo router con Swan.
Allora il problema non e’ solo dovuto alla mia ignoranza!
Ti faro’ sapere se riusciro’ a fare progressi, con la mia vpn
grazie 1000!
Paolo
ciao Andrea per installazione di una DMZ hai gi�
pubblicato qualcosa ?
saluti Maurizio
Ciao
vorrei chiederti se � possibile installare un antivirus in smoothwall e se si come?
grazie
Ciao Andrea sto cercando di far leggere al smoothwall una penna usb con il comando mount /dev/sga1/ ma niente da fare dove sbaglio puoi consigliarmi grazie.
Salve, vi espongo il mio problema.
Ho due reti LAN (A e B) in ambiente Microsoft da mettere in comunicazione tramite VPN su SW. Le due sedi sono interconnesse da linea FastWeb. Nella sede A ho un gruppo di 8 IP pubblici mentre nella sede B solamente 4 (quindi non ne posso assegnare nessuno allo SW perch� tutti occupati).
Secondo voi, in uno scenario di questo tipo, � possibile configurare una connessione VPN always-on?
Grazie in anticipo a chi sapr� aiutarmi.
Non puoi usare il NAT e esporre il solo SW?
Ti riferisci forse al NAT del router FastWeb? Se cos� fosse, purtroppo, non posso configurarlo in quanto di loro propriet�. Se ho capito male la domanda ti prego di spiegarmi meglio.
Grazie
Fulviocri: no. Mi riferisco al NAT che dovresti fare tu per usare indirizzo corretti sulla tua rete privata.
Andrea, scusami. Potresti spiegare meglio cosa intendi?
Grazie
Non riesco ad attivare la VPN attraverso l’interfaccia grafica…
Quando compilo i campi left e right
metto 0.0.0.0 in left sia come ip che come mask.
Poi in right inserisoc la mia rete interna 192.168.1.o e nella mask 255.255.255.0 .
Mi appare un errore che dice che la subnet � sbagliata..
Ho provato a riscriverla in 20 modi diversi ma niente…
Dove sbaglio ?
Grazie 10000 per l’aiuto
Ho installato SW per una lan aziendale e sembra funzionare abbastanza bene.
Unica cosa, ho notato che di default, appena installato,sono aperte e tutti le porte 110 e 25 della posta.
La mia intenzione invece era quella di bloccare per alcuni utenti dei servizi,come la posta e ad alcuni utenti la visione di determinate pagine web, come devo fare per ottenere questo risultato?
Per aprire le porte,cosa che ho fatto per prova,sono andato nella sezione Port Forwarding e funziona bene,ma per fare il contrario,ovvero bloccare le porte?
Grazie a tutti per l’aiuto
Diego: nella versione normale non lo fa. Tutte le porte in uscita sono aperte. Esistono per� dei mod che puoi scaricare ed installare, dai un’occhiata nei forum sul sito, alla sezione mod.
Ho visto diversi mod…ma sinceramente data la mia inesperienza non so proprio quale siano quelli adatti alle mie esigenze, che bloccano in uscita e in entrata le porte di alcuni host e determinati siti.Te ne sarei grato se mi dessi una mano
Ho installato Full Control Firewall,di default mi mette sempre che passa tutte, e tra le altre cose nella lista dei protocolli non c’� ne http,pop3 e smtp….come devo fare?
Ciao.
Ho appena fatto un’installazione di prova in una lan collegata a due pc da una rete fastweb. Funziona tutto, solo che facendo un controlle su un sito ditest per firewall, riesco a vedere gli indirizzi IP delle macchine della LAN. Come faccio a mascherarle?
Non conosco bene Fastweb…ma evidentemente hai assegnato ip pubblici alle macchine della lan. in teoria dovresti assegnare un solo ip pubblico alla red di sw e dare ip privati alle postazioni sulla green.
So che fastweb gestisce gli utenti su una propria mega-lan.
Ciao
x Diego: Teoricamente non potresti modificare il prodotto. In realta’ SW utilizza iptables, basterebbe inserire una linea al file di configurazione, come si farebbe normalmente configurando un qualunque firewall linux da console.
Ripeto: e’ come elaborare un motorino, non hai piu’ il prodotto fornito dalla casa madre, quindi a tuo rischio e pericolo.
Se t’interessa prova a dare un’occhiata a questo indirizzo: http://martybugs.net/smoothwall/iptables.cgi
Ciao
Aiuto ho mesos smoothwall seguendo la guida,ma non riesco a navigare,sto dietro un router Zyxel,il gateway dove � installato smoot ha due schede di rete ad una (RED)= � collegato il router ed all�altra Green � collegato il notebook mediante il cavo CROSS,come mai non navigo?
Notebook ha come IP 192.168.1.10
Smoot (GREEN)192.168.1.15
Smmot (RED) 192.168.1.16
Gateway del router 192.168.1.1
Aiutoooooooo
Emanuele: leggi bene il tutorial, anche la prima parte. SmoothWall fa un NAT, quindi le schede RED e GREEN *non devono* appartenere allo stesso subnet.
Inoltre l’indirizzo di gateway del notebook deve essere la scheda GREEN, sempre *come da guida*.
Grazie andrea per la tua tempestivit�,io ho un router Zyxel Prestige 650H con DHCP disattivato che ha come ip 192.168.1.1,255.255.255.0
LA scheda *Green* di Smooth possiede 192.168.1.14,Subnet 255.255.255.0
La scheda *Rossa* ora l’ho cambiata e Possiede 192.168.1.15,255.0.0.0
va bene?
Grazie per la tua cortesia
Emanuele, No. Gli indirizzi devono essere di due classi diverse. Segui pedestremente il tutorial.
Ciao a tutti, avrei una domanda per i guru di SW.
Sto collaborando con un non-profit per sistemare le cose, ho messo su un server linux e installato SW.
Come gateway va bene, la parte firewall (che vorrei usare per reindirizzare una porta in entrata al server linux interno) per niente.
Ho letto e riletto il man, provato e riprovato ma proprio non ne vuole sapere di reindirizzare il traffico. Ecco la mia situazione.
Rete fastweb, ip pubblico con nat 4 (ovvero ip pubblico da impostare direttamente sul firawall), 3 schede di rete (192.168.0.254=green, 192.168.1.254=orange non collagata a niente, ip_pubblico=red).
Tutto pinga, naviga, ecc. anche da tutti i pc dell’associazione, ma quando cerco di entrare dall’esterno niente (avendo aperto la porta 22 e reindirizzata ad un altro server nel pannello di amministrazione). Nemmeno se “telnet ip_pubblico 22”.
Allora mi sono detto, problema di fastweb? Provo su un altro computer, imposto l’ip pubblico nella eth0, mi collego dall’esterno e funziona tutto.
Le ho provate (credo) tutte, ho anche reinstallato da capo, domani provo a staccare la orange dalla mobo e vediamo che succede.
…consigli???
Un MEGA MEGA MEGA grazie a tutti!
Davide, ecco le altre prove che farei io:
1) Provare a pubblicare direttamente la 22 di SwmoothWall
2) Provare a pubblicare un’altra porta di un servizio che non gira anche su SW, da un PC interno alla LAN e da uno in DMZ
3) Guardare attentamente i log
Grazie mille Andrea per la tua celerita’. Alla fine ci sono riuscito. Eliminando la sheda per il dmz posso entrare nella rete locale e fare amministrazione remota sul server. Dai log pareva che SW preferiva la DMZ per i forward e l’unica era riscriversi le regole a mano. Poi alla fine anche senza la scheda DMZ si possono reindirizzare su altri server blindati i vari servizi.
…in ultimo, ma assolutamente non per importanza, complimenti per il lavoro che hai fatto per il free software. Questo sito ne e’ un campione vivente.
Grazie ancora
Ciao Andrea Senti una cosa,lo smoothwall sta Pulsando a Grandi Livelli,siccome ho anche una rete VPN configurata su Windows XP,ho abilitato l’IP Formarding da Gestione Servizi di Windows XP,nelel connessioni di rete mi trovo la connessione in Ingresso che accetta connessioni da TUnnel VPN,ho testato tutto e funziona,ma appena ho messo Smoot le cose sono cambiate non mi accetta piu connessioni VPN da un PC remoto,come faccio ad abilitare anche le connessioni VPN da Smoot? ho provato in VPN ad Spuntare la casella “Enable” Impostando i vari parametri,ma se vado da Network Services esso risulta essere disabilitato contrassegnato da una “X” Rossa
Grazie per la tua collaborazione
Ciao Andrea,complimenti per il Blog voleve chiederti una cosa riguardo a Smoothwall 3.0 Corporate,Siccome vorei testare l’efficacia de lfirewall conosci qualche sito,oppure software che mi permetta di testare l’efficacia della protezione?
Prova con GRC Shields UP. Cerca sul mio blog ne ho parlato.
Ciao a tutti, anche uo vorrei usare SW sulla ADSL del lavoro. Solo che volevo evitare se possibile il doppio nat. Visto che posso variare la config del router c’� modo di farlo lavorare come Bridge/Modem e demandare il nat a SW? La connessione ADSL � una Smart 5 di Telecom e il router (Siemens Santis 50) usa RFC1483 Routed come protocollo. Ho provato a settarlo in RFC1483 Bridged ma nn funge. Mi sapreste dare una dritta? Eventualmente collegandolo direttamente su USB?
Ciao, io ho un problema nel creare la DMZ con Smoothwall Express 2.0. Innanzitutto la mia configurazione attuale: Smoothwall Express con 3 schede di rete, una scheda Realtech per un modem adsl con interfaccia ethernet, una scheda 3Com per la rete locale (interfaccia Green) con indirizzo ip 192.168.140.1, una scheda 3Com per la DMZ (interfaccia Orange) con indirizzo ip 192.168.0.1. All’interno della Lan ho due server, un web server linux ed un pc con windows 2000 dove girano altri servizi accessibili anche questi dall’esterno. Per adesso ho fatto dei port forwarding per permettere da internet di accedere ai due server, ma mi piacerebbe poterli mettere in DMZ.
Il problema che ho � che se collego i due server alla scheda di rete per la DMZ questi non riescono ad accedere ad internt ed inoltre, al contrario di quanto c’� scritto nel manuale di Smoothwall, dalla LAN non riesco a raggiungere i due server. Ho impostato come gateway della DMZ l’ip 192.168.0.1 che � quello di Smoothwall appunto. Inoltre la cosa strana � che, seppure per qualche giorno non abbia collegato nulla alla scheda di rete per la DMZ, nel grafico del traffico di rete l’interfaccia RED e quella ORANGE hanno lo stesso identico grafico per l’andamento del graffico. Chiedo aiuto. Grazie Mille.
Neanche aprendo i “pinholes”? Il log cosa dice?
Ok, problema risolto. Si trattava di un proglema hw e non sw! Smoothwall non riusciva a gestire correttamente la scheda di rete che impostavo per la DMz. Ho provato a sostituirla con una 3Com e adesso funziona tutto benissimo. Grazie comunque per l’aiuto. Ciao.
Ciao, sono sempro quello che sta aiutando una fondazione non-profit.
Per semplificare loro le cose ho installato SW sulla loro linea (cos� possono condivedersi la linea e abbassare i costi). Ora avendo attivato il forward della porta 22 sul loro server linux (ovviamente) potrei aiutarli anche da casa (evitando troppe uscite per cose semplici). Il problema � che quando entro in ssh sul server il tutto � enormemente lento (e uso solo il teminale senza grafica). Altri server che ho configurato per lavoro (senza SM e con router hardware) vanno che � una bellezza.
Cosa mi consigliate? I fondi dell’associazione non sono molti e non posso far comprare nulla. Magari c’� qualche parametro di SM che mi � sfuggito.
Grazie davvero a tutti
Salve ragazzi,sto utilizzando IPCOP 1.4.9,tutto aggiornato con addons server,dansguardian,copfilter,e copfilter,ma ho un problema,ad un certo punto il mio firewall smette di navigare ed il router 192.168.1.1 non � piu pingabile(per� riesco a scaricare e chattare su MSN,moolto strano!!!)solo il browser non funzia,devo solo riavviare il pc firewall…..qualcuno mi potrebbe aiutare?
Grazie mille
Salve ragazzi.
Ho installato IPCOP 1.49 su un PC con 2 schede di rete, GREEN, RED.
Router Telindus 1124.
Range IP Green 192.168.1X
Range Ip Red 17.16.200.X
Funziona tutto a meraviglia.
Ho installato l’Addons Server 2.3 ed alcuni addons.
Volevo chiedervi se c’� qualcuno che mi pu� dare qualche dritta sulla configurazione degli addons, tipo Blockout Traffic, Squidguard, etc.
Pietro
Ciao a tutti. Uso SW da un po’ di tempo e mi trovo bene. Ho installato QOS-1.8 per limitare il traffico di rete da e per internet. In particolare ho bisogno di limitare gli accessi FTP dall’esterno. Ho fatto alcuni tentativi di configurazione ma non ho ottenuto risultati. Dove posso trovare documentazione in merito? Grazie.
Complimenti per la celerit�………
Veramente molto esaustivo e complimenti al
moderatore, per come risponde velocemente ai quesiti..
Grazie lo stesso, ho risolto da me.
Mah……..
Pietro, questo non � un forum. E’ il mio blog personale. Se ho tempo, voglia e conoscenze, rispondo alle domande. Nel caso specifico hai commentato un post che parla di SmoothWall, chiedendo informazioni per IPCop, che non � oggetto del post e che, tra l’altro, non conosco.
Qui non esiste un moderatore.
Se hai trovato una soluzione diversa potresti dirci che cosa hai fatto, invece di brontolare.
Scusa se sono andato un po’ oltre, ma siccome smoothwall e ipcop sono quasi identici, pensavo che mi potevate dare una mano
Comunque ho installato dansguardian al posto di squidguard.
La black list si aggiorna regolarmente.
Molto grazioso.
Un solo inconveniente � la versione in Inglese.