Difference between revisions of "Iptables (Italiano)"

From ArchWiki
Jump to: navigation, search
(modules: translated)
(File di configurazione: Remove out of date.)
(17 intermediate revisions by 3 users not shown)
Line 1: Line 1:
{{expansion}}
+
{{DISPLAYTITLE:iptables}}
{{i18n|Iptables}}
+
{{translateme}}
+
 
[[Category:Security (Italiano)]]
 
[[Category:Security (Italiano)]]
 
[[Category:Networking (Italiano)]]
 
[[Category:Networking (Italiano)]]
 +
{{expansion}}
 +
[[en:Iptables]]
 +
[[es:Iptables]]
 +
[[ru:Iptables]]
 +
[[sr:Iptables]]
 +
[[zh-CN:Iptables]]
 
{{Article summary start}}
 
{{Article summary start}}
 
{{Article summary text|Informazioni riguardo alla configurazione di iptables.}}
 
{{Article summary text|Informazioni riguardo alla configurazione di iptables.}}
Line 11: Line 15:
 
{{Article summary end}}
 
{{Article summary end}}
  
iptable è un potente [[firewalls (Italiano)|firewall]] integrato nel kernel Linux ed è una parte del progetto [[Wikipedia:it:Netfilter|netfilter]]. Può essere configurato direttamente, oppure usando uno dei vari [[Firewalls (Italiano)#iptables_front-ends|frontends]] oppure una delle [[Firewalls (Italiano)#iptables_GUIs|GUI]]. {{Codeline|iptables}} è utilizzato per gli [[Wikipedia:it:Ipv4|ipv4]] mentre {{Codeline|ip6tables}} è usato per gli [[Wikipedia:it:Ipv6|ipv6]].
+
Iptables è un potente [[firewalls (Italiano)|firewall]] integrato nel kernel Linux ed è una parte del progetto [[Wikipedia:it:Netfilter|netfilter]]. Può essere configurato direttamente, oppure usando uno dei vari [[Firewalls (Italiano)#iptables_front-ends|frontends]] oppure una delle [[Firewalls (Italiano)#iptables_GUIs|GUI]]. iptables è utilizzato per gli [[Wikipedia:it:IPv4|IPv4]] mentre ip6tables è usato per gli [[Wikipedia:it:IPv6|IPv6]].
  
 
== Installazione ==
 
== Installazione ==
 
 
{{Nota| Il proprio kernel dovrà essere compilato con il supporto per iptables. Tutti i kernel stock di Arch Linux hanno il supporto per iptables.}}
 
{{Nota| Il proprio kernel dovrà essere compilato con il supporto per iptables. Tutti i kernel stock di Arch Linux hanno il supporto per iptables.}}
  
Per prima cosa, installare il pacchetto {{Package Official|iptables}}:
+
Per prima cosa, installare il pacchetto {{Pkg|iptables}} dai [[Official Repositories (Italiano)|repository ufficiali]]:
  
  # pacman -S iptables
+
Successivamente, abilitare ed avviare il file service di {{ic|iptables}} per systemd:
 +
 +
  # systemctl enable iptables
 +
# systemctl start iptables
  
Successivamente, aggiungere {{Codeline|iptables}} all'array [[daemon (Italiano)|DAEMONS]] nel file {{filename|/etc/rc.conf}} per far caricare le impostazioni personalizzate durante il boot:
+
Se si desidera il supporto per IPv6, abilitare ed avviare il file service di {{ic|ip6tables}} per systemd:
  
{{File|name=/etc/rc.conf|content=.....
+
# systemctl enable ip6tables
DAEMONS=(... '''iptables''' network ...)}}
+
# systemctl start ip6tables
  
 
== Concetti di base ==
 
== Concetti di base ==
Line 30: Line 36:
 
=== tabelle ===
 
=== tabelle ===
  
iptables contiene quattro tabelle: {{Codeline|raw, filter, nat}} e {{Codeline|mangle}}.
+
iptables contiene quattro tabelle: raw, filter, nat e mangle.
  
 
=== catene ===
 
=== catene ===
 
+
{{expansion}}
Le catene sono utilizzate per idicare una serie di regole. Un pacchetto viene comparato dall'inizio della catena fino a che non soddisfa una regola. Ci sono tre catene principali: {{Codeline|INPUT, OUTPUT}} e {{Codeline|FORWARD}}. Tutti i pacchetti generati dal sistema ed in uscita, passano attraverso la catena {{Codeline|OUTPUT}}, tutti i pacchetti in entrata e destinati al sistema stesso passano attraverso la catena {{Codeline|INPUT}}, mentre i pacchetti che transitano per il sistema ma sono destinati ad altri sistemi passano dalla catena {{Codeline|FORWARD}}. Queste catene hanno destinazioni di default nel caso nessuna regola venga soddisfatta. Catene personalizzate dagli utenti possono essere aggiunte per aumentare l'efficenza delle regole.
+
Le catene sono utilizzate per indicare una serie di regole. Un pacchetto viene comparato dall'inizio della catena fino a che non soddisfa una regola. Ci sono tre catene principali: {{ic|INPUT, OUTPUT}} e {{ic|FORWARD}}. Tutti i pacchetti generati dal sistema ed in uscita, passano attraverso la catena {{ic|OUTPUT}}, tutti i pacchetti in entrata e destinati al sistema stesso passano attraverso la catena {{ic|INPUT}}, mentre i pacchetti che transitano per il sistema ma sono destinati ad altri sistemi passano dalla catena {{ic|FORWARD}}. Queste catene hanno destinazioni di default nel caso nessuna regola venga soddisfatta. Catene personalizzate dagli utenti possono essere aggiunte per aumentare l'efficienza delle regole.
  
 
=== destinazione ===
 
=== destinazione ===
  
Una destinazione è il risultato che si ottiene quando un pacchetto soddisfa una regola. Le destinazioni sono specificate mediante l'uso di {{Codeline|jump}} ({{Codeline|-j}}). Le destinazioni più comuni sono {{Codeline|ACCEPT, DROP, REJECT}} oppure {{Codeline|LOG}}.
+
Una destinazione è il risultato che si ottiene quando un pacchetto soddisfa una regola. Le destinazioni sono specificate mediante l'uso di "jump" (-j). Le destinazioni più comuni sono ACCEPT, DROP, REJECT oppure LOG.
  
 
=== moduli ===
 
=== moduli ===
  
Esistono diversi moduli che possono essere usati per rafforzare {{Codeline|iptables}}, come {{Codeline|connlimit, conntrack, limit}} e {{Codeline|recent}}. Questi moduli forniscono funzionalità aggiuntive per permettere l'uso di regole di filtraggio più complesse.
+
Esistono diversi moduli che possono essere usati per rafforzare iptables, come connlimit, conntrack, limit e recent. Questi moduli forniscono funzionalità aggiuntive per permettere l'uso di regole di filtraggio più complesse.
  
== Configuration ==
+
== Configurazione ==
  
=== From the command line ===
+
=== Da linea di comando ===
  
You can check the current ruleset and the number of hits per rule by using the command:
+
Sarà possibile controllare le regole in uso ed il numero di pacchetti che hanno soddisfatto le regole usando il comando:
  
# iptables -nvL
+
{{hc|# iptables -nvL|Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
+
pkts bytes target    prot opt in    out    source              destination   
  pkts bytes target    prot opt in    out    source              destination   
+
     
+
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
+
  pkts bytes target    prot opt in    out    source              destination   
+
 
      
 
      
  Chain OUTPUT (policy ACCEPT 0K packets, 0 bytes)
+
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target    prot opt in    out    source              destination
+
  pkts bytes target    prot opt in    out    source              destination   
 +
   
 +
Chain OUTPUT (policy ACCEPT 0K packets, 0 bytes)
 +
pkts bytes target    prot opt in    out    source              destination}}
  
If the output looks like the above, then there are no rules.
+
Se l'output ottenuto è simile a quello nell'esemprio, allora non sono state configurate regole.
  
You can flush and reset iptables to default using these commands:
+
Le regole possono essere resettate alle impostazioni di default usando questi comandi:
  
 
  # iptables -P INPUT ACCEPT
 
  # iptables -P INPUT ACCEPT
Line 70: Line 75:
 
  # iptables -X
 
  # iptables -X
  
=== Configuration file ===
+
=== Salvare i contatori ===
 +
{{Nota| Questa procedura non funzionerà se si utilizza [[systemd (Italiano)|systemd]]. Sarà necessario modificare i file service di systemd.}}
 +
Sarà possibile, opzionalmente, salvare i contatori di pacchetti e dei byte. Per poterlo fare, modificare il file  {{ic|/etc/rc.d/iptables}}
  
The configuration file at {{filename|/etc/conf.d/iptables}} points to the location of the configuration file. The ruleset is loaded when the daemon is started.
+
Nella sezione '''save)''' cambiare la linea:
 
+
IPTABLES=/usr/sbin/iptables
+
IP6TABLES=/usr/sbin/ip6tables
+
+
IPTABLES_CONF=/etc/iptables/iptables.rules
+
IP6TABLES_CONF=/etc/iptables/ip6tables.rules
+
IPTABLES_FORWARD=0  # enable IP forwarding?
+
 
+
To save the current ruleset, use this command:
+
 
+
# /etc/rc.d/iptables save
+
 
+
To load the ruleset, use this command:
+
 
+
# /etc/rc.d/iptables restart
+
 
+
=== Saving counters ===
+
 
+
You can also, optionally, save byte and packet counters. To accomplish this, edit {{filename|/etc/rc.d/iptables}}
+
 
+
In the '''save)''' section, change the line:
+
 
  /usr/sbin/iptables-save > $IPTABLES_CONF
 
  /usr/sbin/iptables-save > $IPTABLES_CONF
to
+
in
 
  /usr/sbin/iptables-save -c > $IPTABLES_CONF
 
  /usr/sbin/iptables-save -c > $IPTABLES_CONF
In the '''stop)''' section, add the following to save before stopping:
+
Nella sezione '''stop)''', aggiugnere le seguenti linee per salvare prima dello stop del demone:
 
  stop)
 
  stop)
 
       $0 save
 
       $0 save
 
       sleep 2
 
       sleep 2
In the '''start)''' section, change the line:
+
Nella sezione '''start)''', cambiare la linea:
 
  /usr/sbin/iptables-restore < $IPTABLES_CONF
 
  /usr/sbin/iptables-restore < $IPTABLES_CONF
to
+
in
 
  /usr/sbin/iptables-restore -c < $IPTABLES_CONF
 
  /usr/sbin/iptables-restore -c < $IPTABLES_CONF
and save the file
+
e salvare il file.
  
 
=== Guide ===
 
=== Guide ===
Line 112: Line 98:
 
*[[Router]]
 
*[[Router]]
  
== Logging ==
+
== Log ==
 +
La destinazione LOG può essere utilizzata per registrare i pacchetti che soddisfano una regola. Diversamente dalle altre destinazioni come ACCEPT o DROP, il pacchetto continua a muoversi sulla catena dopo essere passato dalla destinazione LOG. Questo significa che per registrare tutti i pacchetti bloccati, sarà necessario aggiungere una regola duplicata con destinazione LOG prima di ogni regola con destinazione DROP. Dato che questo riduce l'efficienza e rende le cose meno semplici, una catena LOGDROP potrà essere creata al suo posto.
  
The LOG target can be used to log packets that hit a rule. Unlike other targets like ACCEPT or DROP, the packet will continue moving through the chain after hitting a LOG target. This means that in order to enable logging for all dropped packets, you would have to add a duplicate LOG rule before each DROP rule. Since this reduces efficiency and makes things less simple, a LOGDROP chain can be created instead.
+
## /etc/iptables/iptables.rules
 
+
<pre>
+
*filter
## /etc/iptables/iptables.rules
+
:INPUT DROP [0:0]
 
+
:FORWARD DROP [0:0]
*filter
+
:OUTPUT ACCEPT [0:0]
:INPUT DROP [0:0]
+
:FORWARD DROP [0:0]
+
... altre catene definite dall'utente ..
:OUTPUT ACCEPT [0:0]
+
 
+
## catena LOGDROP
... other user defined chains ..
+
:LOGDROP - [0:0]
 
+
## LOGDROP chain
+
-A LOGDROP -m limit --limit 5/m --limit-burst 10 -j LOG
:LOGDROP - [0:0]
+
-A LOGDROP -j DROP
 
+
-A LOGDROP -m limit --limit 5/m --limit-burst 10 -j LOG
+
... regole ...
-A LOGDROP -j DROP
+
 
+
## effettua il log ED effettua il drop dei pacchetti che soddisfano questa regola:
... rules ...
+
-A INPUT -m state --state INVALID -j LOGDROP
 
+
## log AND drop packets that hit this rule:
+
... altre regole ...
-A INPUT -m state --state INVALID -j LOGDROP
+
 
+
... more rules ...
+
</pre>
+
  
=== Limiting log rate ===
+
=== Limitare le dimensioni del log ===
  
The limit module should be used to prevent your iptables log from growing too large or causing needless hard drive writes. Without limiting, an attacker could fill your drive (or at least your {{filename|/var}} partition) by causing writes to the iptables log.
+
Il modulo limit viene usato per impedire che il log di iptables cresca troppo o causi inutili scritture sul disco. Senza usare limiti, un attaccante potrebbe riempire il disco (oppure la sola partizione {{ic|/var}}) facendo scrivere log ad iptables.
  
'''-m limit''' is used to call on the limit module. You can then use --limit to set an average rate and --limit-burst to set an initial burst rate. Example:
+
'''-m limit''' viene usato per attivare il modulo limit. Si può utilizzare l'opzione --limit per impostare un lasso di tempo  medio, l'opzione --limit-burst serve per impostare il limite di pacchetti per i log. Ad esempio:
  
 
  -A LOGDROP -m limit --limit 5/m --limit-burst 10 -j LOG
 
  -A LOGDROP -m limit --limit 5/m --limit-burst 10 -j LOG
  
This appends a rule to the LOGDROP chain which will log all packets that pass through it. The first 10 packets will the be logged, and from then on only 5 packets per minute will be logged. The "limit burst" is restored by one every time the "limit rate" is not broken.
+
Questo aggiunge una regola alla catena LOGDROP che registrerà nel log tutti i pacchetti che passano da essa. I primi 10 pacchetti verranno registrati, e dopo di essi solo 5 pacchetti per minuto verranno registrati. Il "limit-burst" viene ripristinato ogni volta che il non viene superato il "tempo di limit".
  
 
=== syslog-ng ===
 
=== syslog-ng ===
  
Assuming you are using [[syslog-ng]] which is the default in Archlinux, you can control where iptables' log output goes this way:
+
Presumendo che si utilizzi [[syslog-ng]], come di default su Archlinux, è possibile controllare dove sarà salvato il log di iptables in questo modo:
 
  filter f_everything { level(debug..emerg) and not facility(auth, authpriv); };
 
  filter f_everything { level(debug..emerg) and not facility(auth, authpriv); };
to
+
in
 
  filter f_everything { level(debug..emerg) and not facility(auth, authpriv) and not filter(f_iptables); };
 
  filter f_everything { level(debug..emerg) and not facility(auth, authpriv) and not filter(f_iptables); };
  
This will stop logging iptables output to {{filename|/var/log/everything.log}}.
+
Questo fermerà il log di {{ic|iptables}} nel file {{ic|/var/log/everything.log}}.
 +
 
 +
Se si desidera che i log di iptables vadano in un file diverso da {{ic|/var/log/iptables.log}}, basterà modificare il valore di destinazione di d_iptables (sempre nel file {{ic|syslog-ng.conf}})
  
If you also want iptables to log to a different file than {{filename|/var/log/iptables.log}}, you can simply change the file value of destination d_iptables here (still in {{filename|syslog-ng.conf}})
 
 
  destination d_iptables { file("/var/log/iptables.log"); };
 
  destination d_iptables { file("/var/log/iptables.log"); };
  
 
=== ulogd ===
 
=== ulogd ===
  
[http://www.netfilter.org/projects/ulogd/index.html ulogd] is a specialized userspace packet logging daemon for netfilter that can replace the default LOG target. An [[AUR]] package can be found [http://aur.archlinux.org/packages.php?ID=22704 here].
+
[http://www.netfilter.org/projects/ulogd/index.html ulogd] è uno demone eseguito in userspace il suo scopo è quello di effettuare il log dei pacchetti per netfilter, questo demone può rimpiazzare la destinazione di default LOG. Il pacchetto {{Pkg|ulogd}} è disponibile nel repository {{ic|[community]}}
  
 
== Ulteriori risorse ==
 
== Ulteriori risorse ==
 
+
{{Wikipedia|iptables}}
* [[Wikipedia:it:Iptables|Articolo di Wikipedia su Iptables]]
+
* [http://www.netfilter.org/projects/iptables/index.html Sito ufficiale di iptables]
* [http://www.netfilter.org/projects/iptables/index.html Homepage di Iptables]
+
* [http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html iptables Tutorial 1.2.2] by Oskar Andreasson
 +
* [http://wiki.debian.org/iptables iptables Debian ] Wiki di Debian

Revision as of 11:59, 14 November 2013

Tango-view-fullscreen.pngThis article or section needs expansion.Tango-view-fullscreen.png

Reason: please use the first argument of the template to provide a brief explanation. (Discuss in Talk:Iptables (Italiano)#)
Template:Article summary start

Template:Article summary text Template:Article summary heading Template:Article summary wiki Template:Article summary wiki Template:Article summary end

Iptables è un potente firewall integrato nel kernel Linux ed è una parte del progetto netfilter. Può essere configurato direttamente, oppure usando uno dei vari frontends oppure una delle GUI. iptables è utilizzato per gli IPv4 mentre ip6tables è usato per gli IPv6.

Installazione

Nota: Il proprio kernel dovrà essere compilato con il supporto per iptables. Tutti i kernel stock di Arch Linux hanno il supporto per iptables.

Per prima cosa, installare il pacchetto iptables dai repository ufficiali:

Successivamente, abilitare ed avviare il file service di iptables per systemd:

# systemctl enable iptables
# systemctl start iptables

Se si desidera il supporto per IPv6, abilitare ed avviare il file service di ip6tables per systemd:

# systemctl enable ip6tables
# systemctl start ip6tables

Concetti di base

tabelle

iptables contiene quattro tabelle: raw, filter, nat e mangle.

catene

Tango-view-fullscreen.pngThis article or section needs expansion.Tango-view-fullscreen.png

Reason: please use the first argument of the template to provide a brief explanation. (Discuss in Talk:Iptables (Italiano)#)

Le catene sono utilizzate per indicare una serie di regole. Un pacchetto viene comparato dall'inizio della catena fino a che non soddisfa una regola. Ci sono tre catene principali: INPUT, OUTPUT e FORWARD. Tutti i pacchetti generati dal sistema ed in uscita, passano attraverso la catena OUTPUT, tutti i pacchetti in entrata e destinati al sistema stesso passano attraverso la catena INPUT, mentre i pacchetti che transitano per il sistema ma sono destinati ad altri sistemi passano dalla catena FORWARD. Queste catene hanno destinazioni di default nel caso nessuna regola venga soddisfatta. Catene personalizzate dagli utenti possono essere aggiunte per aumentare l'efficienza delle regole.

destinazione

Una destinazione è il risultato che si ottiene quando un pacchetto soddisfa una regola. Le destinazioni sono specificate mediante l'uso di "jump" (-j). Le destinazioni più comuni sono ACCEPT, DROP, REJECT oppure LOG.

moduli

Esistono diversi moduli che possono essere usati per rafforzare iptables, come connlimit, conntrack, limit e recent. Questi moduli forniscono funzionalità aggiuntive per permettere l'uso di regole di filtraggio più complesse.

Configurazione

Da linea di comando

Sarà possibile controllare le regole in uso ed il numero di pacchetti che hanno soddisfatto le regole usando il comando:

# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination   
     
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination    
    
Chain OUTPUT (policy ACCEPT 0K packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Se l'output ottenuto è simile a quello nell'esemprio, allora non sono state configurate regole.

Le regole possono essere resettate alle impostazioni di default usando questi comandi:

# iptables -P INPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -F
# iptables -X

Salvare i contatori

Nota: Questa procedura non funzionerà se si utilizza systemd. Sarà necessario modificare i file service di systemd.

Sarà possibile, opzionalmente, salvare i contatori di pacchetti e dei byte. Per poterlo fare, modificare il file /etc/rc.d/iptables

Nella sezione save) cambiare la linea:

/usr/sbin/iptables-save > $IPTABLES_CONF

in

/usr/sbin/iptables-save -c > $IPTABLES_CONF

Nella sezione stop), aggiugnere le seguenti linee per salvare prima dello stop del demone:

stop)
     $0 save
     sleep 2

Nella sezione start), cambiare la linea:

/usr/sbin/iptables-restore < $IPTABLES_CONF

in

/usr/sbin/iptables-restore -c < $IPTABLES_CONF

e salvare il file.

Guide

Log

La destinazione LOG può essere utilizzata per registrare i pacchetti che soddisfano una regola. Diversamente dalle altre destinazioni come ACCEPT o DROP, il pacchetto continua a muoversi sulla catena dopo essere passato dalla destinazione LOG. Questo significa che per registrare tutti i pacchetti bloccati, sarà necessario aggiungere una regola duplicata con destinazione LOG prima di ogni regola con destinazione DROP. Dato che questo riduce l'efficienza e rende le cose meno semplici, una catena LOGDROP potrà essere creata al suo posto.

## /etc/iptables/iptables.rules

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

... altre catene definite dall'utente ..

## catena LOGDROP
:LOGDROP - [0:0]

-A LOGDROP -m limit --limit 5/m --limit-burst 10 -j LOG
-A LOGDROP -j DROP

... regole ...

## effettua il log ED effettua il drop dei pacchetti che soddisfano questa regola:
-A INPUT -m state --state INVALID -j LOGDROP

... altre regole ...

Limitare le dimensioni del log

Il modulo limit viene usato per impedire che il log di iptables cresca troppo o causi inutili scritture sul disco. Senza usare limiti, un attaccante potrebbe riempire il disco (oppure la sola partizione /var) facendo scrivere log ad iptables.

-m limit viene usato per attivare il modulo limit. Si può utilizzare l'opzione --limit per impostare un lasso di tempo medio, l'opzione --limit-burst serve per impostare il limite di pacchetti per i log. Ad esempio:

-A LOGDROP -m limit --limit 5/m --limit-burst 10 -j LOG

Questo aggiunge una regola alla catena LOGDROP che registrerà nel log tutti i pacchetti che passano da essa. I primi 10 pacchetti verranno registrati, e dopo di essi solo 5 pacchetti per minuto verranno registrati. Il "limit-burst" viene ripristinato ogni volta che il non viene superato il "tempo di limit".

syslog-ng

Presumendo che si utilizzi syslog-ng, come di default su Archlinux, è possibile controllare dove sarà salvato il log di iptables in questo modo:

filter f_everything { level(debug..emerg) and not facility(auth, authpriv); };

in

filter f_everything { level(debug..emerg) and not facility(auth, authpriv) and not filter(f_iptables); };

Questo fermerà il log di iptables nel file /var/log/everything.log.

Se si desidera che i log di iptables vadano in un file diverso da /var/log/iptables.log, basterà modificare il valore di destinazione di d_iptables (sempre nel file syslog-ng.conf)

destination d_iptables { file("/var/log/iptables.log"); };

ulogd

ulogd è uno demone eseguito in userspace il suo scopo è quello di effettuare il log dei pacchetti per netfilter, questo demone può rimpiazzare la destinazione di default LOG. Il pacchetto ulogd è disponibile nel repository [community]

Ulteriori risorse

Template:Wikipedia