Endian Firewall

Utilizzo questa splendida distribuzione che può essere installata su una macchina di confine con almeno due schede di rete. È molto intuitiva con la sua interfaccia via web quindi la maggior parte delle cose è inutile scriverle ma per alcune conviene farlo.

Installare software aggiuntivo su endian

Dato che è una linux basata su fedora si potrebbero installare pacchetti aggiuntivi usando rpm -i . Il problema è che mancano mille dipendenze per questo motivo su alcuni forum ho trovato il suggerimento di usare smart, che sembra una specie più semplice di yum.

Anche questo però va configurato
Delle guide consigliano di installare solo rpm provenienti dal repository centos 4 o 5 preferendo il 4 al 5. I repository si trovano qui, conviene esplorarli con il browser. C'è scritto che si possono avere errori usando altre distribuzioni. In verità gli errori si hanno comunque.

Sono i386 perchè endian è a 32 bit almeno fino alla versione attuale la 2.4.1

http://mirror.centos.org/centos/4/os/i386/CentOS/RPMS/
http://mirror.centos.org/centos/5/os/i386/CentOS/

Prima di installare bisogna dire a smart di non fare i controlli per le chiavi perchè altrimenti si avranno degli errori

smart config --set rpm-check-signatures=False

Su un sito in cirillico che ovviamente non capisco ho trovato questo comando sopra insieme a delle altre opzioni che sembrano per endian.

Inoltre ho trovato un how to carino di una pagina per smart qui che dice in sintesi.
Installa una serie di canali
Io preferisco non usare questi suoi perchè alcuni forse sono incompatibili altri sono offline ho messo solamente uno che sta sotto

smart channel --add Dag-Wieers type=rpm-md priority=-5 baseurl=http://apt.sw.be/redhat/el4/en/i386/dag/ -y;
smart channel --add VA-Tech-Extras type=rpm-md priority=-5 baseurl=http://mirror.cs.vt.edu/pub/CentOS /4.4/extras/i386/ -y;
smart channel --add VA-Tech-Base type=rpm-md priority=-5 baseurl=http://mirror.cs.vt.edu/pub/CentOS/4.4/os/i386/ -y;
smart channel --add Dries type=rpm-md priority=-5 baseurl=http://ftp.belnet.be/packages/dries.ulyssis.org/redhat/el4/en/i386/dries/RPMS/ -y;
smart channel --add atrpms name="ATrpms Repository" type=rpm-md priority=-5 baseurl=http://dl.atrpms.net/el4-i386/atrpms/stable/ -y;

ho messo solo questo

smart channel --add centos4 type=rpm-md priority=-5 baseurl=http://mirror.centos.org/centos/4/os/i386/ -y

Eventualmente per mostrare rimuovere il canale
smart channel --remove VA-Tech-Base
smart channel --show

Dopo è necessario fare un update
smart update

Si può anche fare un upgrade
smart upgrade

Poi ci sono le operazioni standard
smart search wget
smart install wget

Dopo mi sa che conviene fare un upgrade

smart upgrade

C'è anche la possibilità di installare un repository con gli rpm locali, che però non ho provato

smart channel --add local-EL-rpms name="Oracle Enterprise Linux RPMs" manual=true type=rpm-dir path=/mnt/hgfs/el-rpms/ -y;

Per installare un rpm direttamente remoto

smart install somefile.rpm
smart install ftp://someurl.com/somefile.rpm

The network menu - Rete

Ancora ci sono delle sezioni da rivedere.

Routing

Sono definite tutta una seria di rotte per le vpn in modo che vadano su ipcoop. Inoltre ci sono le rotte per i dispositivi di softphone che vanno sul gw per softphone.

Come si vede dall'interfaccia ci sono due tipi di rotte Static e Policy routing la prima che è quella che ho settato è una vera e propria rotta classica di livello 3, mentra la policy permette di discriminare in base al servizio molto comoda. Quando si mette una rotta in static poi la inserisce automaticamente con tutti i servizi in policy routing.

Le rotte sono processate dalla prima all'ultima infatti come rotta finale c'è quella dell'uplink principale.

Se ci si logga via ssh non si vedono le rotte con il comando ip route questo perchè dato che fa discriminazione sui servizi per farlo probabilmente usa delle impostazioni particolari di iptables. Con il routing normale di ip route non si potrebbe fare la discriminazione dei servizi perchè opera a livello ip e non tcp della pila protocollare.

Non conviene guardare come riferimento la static routing perchè sarà sempre un sott'insieme della policy, conviene inceve guardare quest'ultima.

Usando come destinazione della rotta l'uplink secondario non mi funzionava invece se metto l'indirizzo ip va.

Interfaces

Uplink editor

Tutto abbastanza intuitivo direi che l'unica cosa da notare è che si può definire un uplink secondario che entra in funzione quando il primo si rompe.

Firewall

Studio della sezione Firewall completo.
Endian sezione Firewall

The VPN Menu

Endian sezione VPN (openvpn)
completata la sezione server, non fatta per adesso la sezione client per gateway-to-gateway e ipsec perchè al momento non m'interessavano.

Servizi

Quality of Service

Serve per dare priorità ai servizi in base al tipo, ssh e voip prima di http per esempio.

Salvo diversa indicazione, il contenuto di questa pagina è sotto licenza Creative Commons Attribution-ShareAlike 3.0 License