Iptable e squid

maurilioc · 16-07-2009, 10:09

Salve a tutti, uso da poco Linux Ubuntu e vorrei un consiglio. In una rete di PC windows, con un router adsl senza firewall, con indirizzo IP statico, dovrei:
1) permettere l'accesso da internet su un pc con un server per video sorveglianza (chiamiamolo PC-VS),
2) impedire a tutti gli utenti non autorizzati di accedere ad internet
Pensavo di usare un pc con Ubuntu e due schede di rete, con Iptable per ridirigere il traffico in ingresso (sulla porta della video sorveglianza) all' IP del PC-VS, e poi usare squid per autenticare gli utenti che possono accedere ad internet.
Ho qualche dubbio su un paio di cose:
qual'è il modo più semplice per autenticare gli utenti che potranno accedere ad internet?
Per usare squid devo anche installare Apache?
Mi date qualche consiglio? Grazie!

WebWolf · 16-07-2009, 11:03

Buondì,

la soluzione più semplice che mi permetto di consigliare è di usare una distribuzione firewall. Le 3 che conosco meglio sono: smoothwall, Ipcop e monowall.

Puoi usare un pc di recupero (tipo 1GHz con 256 Mb di ram e 10Gb di disco) con due schede di rete minimo.

Quello che utilizzo più spesso è Smoothwall Express (è gratuito). Con questo puoi bloccare direttamente l'ip dei pc in modo da negare loro l'accesso ad internet. Inoltre puoi apirire la porta solo agli ip che vuoi, utile nel tuo caso con la webcam. Volendo supporta pure le VPN e ssh. Si installa in poco meno di un quarto d'ora. Registrandoti (gratis) puoi scaricare i due manuali.

Nel tuo caso la rete RED andrebbe attaccata al router e la GREEN sarebbe la tua rete interna di pc.

Sito:
http://www.smoothwall.org/

L'alternativa di usare IPtables e Squid è molto buona, ma richiede appunto la conoscenza delle policy di iptables (http://www.netfilter.org/) e l'installazione/configurazione di squid (http://www.squid-cache.org/). Inoltre, consiglio da professionista, un sistema 'firewall' dovrebbe avere il minimo di servizi attivi, quindi una distro coninterfaccia grafica sarebbe già da scartare, il principio della sicurezza dei server è: meno servizi attivi, meno exploit disponibili.
Quindi decidendo per l'opzione 'manuale' ti consiglierei di usare una Debian 5 via Netinstall (senza GUI, ovviamente).

maurilioc · 16-07-2009, 14:15

Grazie WebWolf per il consiglio, unico dubbio è se sia possibile con un firewall, ad esempio smoothwall, "filtrare" l'accesso degli utenti ad internet in base a password e non in base all'IP della macchina. In ogni caso grazie per l'idea, darò sicuramente un'occhiata a questi firewall.

menk · 16-07-2009, 16:14

io utilizzo ipcop (fork di smoothwall) e con l'addon advproxy è possibile fare quello che richiedi.
mi sembra ci sia anche per smoothwall...

maurilioc · 16-07-2009, 17:01

Benissimo! Ho controllato e l'addon advproxy c'è anche per smoothwall.
Direi che con questa soluzione posso fare agevolmente ciò che mi occorre.
Ma sarà meglio Ipcop+advproxy o smoothwall+advproxy?

mikeve · 17-07-2009, 08:27

io invece utilizzo la distro italianissima zeroshell... mi trovo molto bene e c'è un po' di cocumentazione a riguardo direttamente dal sito, provala se hai tempo

WebWolf · 17-07-2009, 09:09

Quote:

Originariamente inviato da mikeve

io invece utilizzo la distro italianissima zeroshell... mi trovo molto bene e c'è un po' di cocumentazione a riguardo direttamente dal sito, provala se hai tempo

Non è solo live Zeroshell ? Se capita un reboot occorre riconfigurare il tutto o salva le impostazioni da qualche parte ?

maurilioc · 17-07-2009, 10:12

Quote:

Originariamente inviato da WebWolf

Non è solo live Zeroshell ? Se capita un reboot occorre riconfigurare il tutto o salva le impostazioni da qualche parte ?

Interessante anche Zeroshell, leggendo le FAQ sembra si possa configurare anche permanentemente http://www.zeroshell.net/faq/storage/#sto.faq2

maurilioc · 17-07-2009, 10:17

Quote:

Originariamente inviato da mikeve

io invece utilizzo la distro italianissima zeroshell... mi trovo molto bene e c'è un po' di cocumentazione a riguardo direttamente dal sito, provala se hai tempo

Sembra interessante, ora direi che ho un po' di materiale su cui lavorare, proverò anche zeroshell oltre a smoothwall. Grazie ancora a tutti per le preziose info

mikeve · 17-07-2009, 10:57

zeroshell si avvia da cd ma se hai una chiave usb o un hard disk carica in automatico le impostazione da essi... è comodo perchè nessuno può modificare i file di sistema (essendo su cd) male che vada può cambiare qualche impostazione... comunque ci sono delle guide che spiegano come installarla su una penna usb e fare il boot da essa che risulta essere veloce ed efficiente. sebbene sia ancora in beta (ormai da qualche anno) io mi trovo benissimo perchè ha tutte le principali funzioni (firewall, vpn, captive portal, gestisce più connessioni internet simultaneamente, antivirus, dans guardian, dns, dhcp...).
insomma io te la consiglio vivamente anche solo da livecd così ti rendi conto di come funziona e di come sia semplice al pari di ipcop.

WebWolf · 17-07-2009, 13:14

Quote:

Originariamente inviato da mikeve

zeroshell si avvia da cd
/cut/

Un'altra cosa da provare.

E' che mi servirebbero giornate con 26/27 ore...
Nel week-end mi leggiucchio bene il sito.

16-07-2009, 10:09	#1
maurilioc Junior Member Iscritto dal: Feb 2003 Messaggi: 11	Iptable e squid Salve a tutti, uso da poco Linux Ubuntu e vorrei un consiglio. In una rete di PC windows, con un router adsl senza firewall, con indirizzo IP statico, dovrei: 1) permettere l'accesso da internet su un pc con un server per video sorveglianza (chiamiamolo PC-VS), 2) impedire a tutti gli utenti non autorizzati di accedere ad internet Pensavo di usare un pc con Ubuntu e due schede di rete, con Iptable per ridirigere il traffico in ingresso (sulla porta della video sorveglianza) all' IP del PC-VS, e poi usare squid per autenticare gli utenti che possono accedere ad internet. Ho qualche dubbio su un paio di cose: qual'è il modo più semplice per autenticare gli utenti che potranno accedere ad internet? Per usare squid devo anche installare Apache? Mi date qualche consiglio? Grazie!

16-07-2009, 11:03	#2
WebWolf Senior Member Iscritto dal: Nov 2004 Città: Reggio Emilia e dintorni Messaggi: 3726	Buondì, la soluzione più semplice che mi permetto di consigliare è di usare una distribuzione firewall. Le 3 che conosco meglio sono: smoothwall, Ipcop e monowall. Puoi usare un pc di recupero (tipo 1GHz con 256 Mb di ram e 10Gb di disco) con due schede di rete minimo. Quello che utilizzo più spesso è Smoothwall Express (è gratuito). Con questo puoi bloccare direttamente l'ip dei pc in modo da negare loro l'accesso ad internet. Inoltre puoi apirire la porta solo agli ip che vuoi, utile nel tuo caso con la webcam. Volendo supporta pure le VPN e ssh. Si installa in poco meno di un quarto d'ora. Registrandoti (gratis) puoi scaricare i due manuali. Nel tuo caso la rete RED andrebbe attaccata al router e la GREEN sarebbe la tua rete interna di pc. Sito: http://www.smoothwall.org/ L'alternativa di usare IPtables e Squid è molto buona, ma richiede appunto la conoscenza delle policy di iptables (http://www.netfilter.org/) e l'installazione/configurazione di squid (http://www.squid-cache.org/). Inoltre, consiglio da professionista, un sistema 'firewall' dovrebbe avere il minimo di servizi attivi, quindi una distro coninterfaccia grafica sarebbe già da scartare, il principio della sicurezza dei server è: meno servizi attivi, meno exploit disponibili. Quindi decidendo per l'opzione 'manuale' ti consiglierei di usare una Debian 5 via Netinstall (senza GUI, ovviamente). __________________ Open CD ITA - Open DVD ITA - Linux da Zero - RFC1925 - O.S.: Debian & Slackware - Rule #1: It has to work ! AVERE DELLE CONOSCENZE E NON CONDIVIDERLE E' COME NON AVERE NULLA

16-07-2009, 14:15	#3
maurilioc Junior Member Iscritto dal: Feb 2003 Messaggi: 11	Grazie WebWolf per il consiglio, unico dubbio è se sia possibile con un firewall, ad esempio smoothwall, "filtrare" l'accesso degli utenti ad internet in base a password e non in base all'IP della macchina. In ogni caso grazie per l'idea, darò sicuramente un'occhiata a questi firewall.

16-07-2009, 16:14	#4
menk Senior Member Iscritto dal: Jan 2001 Città: Forlì Messaggi: 456	io utilizzo ipcop (fork di smoothwall) e con l'addon advproxy è possibile fare quello che richiedi. mi sembra ci sia anche per smoothwall...

16-07-2009, 17:01	#5
maurilioc Junior Member Iscritto dal: Feb 2003 Messaggi: 11	Benissimo! Ho controllato e l'addon advproxy c'è anche per smoothwall. Direi che con questa soluzione posso fare agevolmente ciò che mi occorre. Ma sarà meglio Ipcop+advproxy o smoothwall+advproxy?

17-07-2009, 08:27	#6
mikeve Member Iscritto dal: Feb 2004 Messaggi: 206	io invece utilizzo la distro italianissima zeroshell... mi trovo molto bene e c'è un po' di cocumentazione a riguardo direttamente dal sito, provala se hai tempo

17-07-2009, 10:57	#10
mikeve Member Iscritto dal: Feb 2004 Messaggi: 206	zeroshell si avvia da cd ma se hai una chiave usb o un hard disk carica in automatico le impostazione da essi... è comodo perchè nessuno può modificare i file di sistema (essendo su cd) male che vada può cambiare qualche impostazione... comunque ci sono delle guide che spiegano come installarla su una penna usb e fare il boot da essa che risulta essere veloce ed efficiente. sebbene sia ancora in beta (ormai da qualche anno) io mi trovo benissimo perchè ha tutte le principali funzioni (firewall, vpn, captive portal, gestisce più connessioni internet simultaneamente, antivirus, dans guardian, dns, dhcp...). insomma io te la consiglio vivamente anche solo da livecd così ti rendi conto di come funziona e di come sia semplice al pari di ipcop.

Strumenti
Mostra una versione stampabile Invia questa pagina per email