(Errori) Installare Aircrack-ng su Debian Sid

 

 

 

 

Trovandomi ad installare Aircrck-ng, con il classico metodo, ho avuto un sacco di errori:

 

 

edmond@Debianbox:~/aircrack-ng-1.1$ make
make -C src all
make[1]: Entering directory `/home/edmond/aircrack-ng-1.1/src'
make -C osdep
make[2]: Entering directory `/home/edmond/aircrack-ng-1.1/src/osdep'
Building for Linux
make[3]: Entering directory `/home/edmond/aircrack-ng-1.1/src/osdep'
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -fPIC -I..    -c -o osdep.o osdep.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -fPIC -I..    -c -o network.o network.c
gcc -g -W -Wall -Werror -O3 -D_FILE_OFFSET_BITS=64 -D_REVISION=0  -fPIC -I..    -c -o linux.o linux.c
linux.c: In function ‘is_ndiswrapper’:
linux.c:165:17: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘linux_set_rate’:
linux.c:334:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘linux_set_channel’:
linux.c:807:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘linux_set_freq’:
linux.c:896:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘set_monitor’:
linux.c:1022:22: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘do_linux_open’:
linux.c:1366:12: error: variable ‘unused_str’ set but not used [-Werror=unused-but-set-variable]
linux.c:1352:15: error: variable ‘unused’ set but not used [-Werror=unused-but-set-variable]
linux.c: In function ‘get_battery_state’:
linux.c:1982:35: error: variable ‘current’ set but not used [-Werror=unused-but-set-variable]
cc1: all warnings being treated as errors
make[3]: *** [linux.o] Error 1
make[3]: Leaving directory `/home/edmond/aircrack-ng-1.1/src/osdep'
make[2]: *** [all] Error 2
make[2]: Leaving directory `/home/edmond/aircrack-ng-1.1/src/osdep'
make[1]: *** [osd] Error 2
make[1]: Leaving directory `/home/edmond/aircrack-ng-1.1/src'
make: *** [all] Error 2

 

il problema è dovuto alla versionde di gcc, che è alla versione 4.6.2 (Debian 4.6.2-3), mentre aircrack-ng deve essere compilato con una versione precedente…io ho usato la 4.4, ma dovrebbe funzionare anche la 4.5.

 

# gcc -v

 

quindi non rimane che cambiare versione del compilatore. Se si usa il comando:

 

# update-alternatives --install /usr/bin/gcc gcc-4.4 /usr/bin/gcc-4.4 20

 

la risposta sarà:

 

root@Debianbox:/home/edmond# update-alternatives –install /usr/bin/gcc gcc-4.4 /usr/bin/gcc-4.4 20
update-alternatives: viene usato /usr/bin/gcc-4.4 per fornire /usr/bin/gcc (gcc-4.4) in modalità automatica.

 

per ritornare alla versione precedente, io ho usato:

 

# rm /usr/bin/gcc

# ln -sf /usr/bin/gcc-4.6 /usr/bin/gcc

 

Comunque il pacchetto deb si trova nel repository.

 

ps:ci sarebbe da mettere anche a posto /etc/alternatives/gcc

 

enjoy πŸ˜‰

Network-Manager VS Chattr 1 a 0

 

 

Sulla mia Debian ho voluto rimettere i dns di Opendns, e quindi sono andato a modificare direttamente /etc/resolv.conf, subito dopo mi sono accorto che le nuove impostazioni venivano perse. Allora mi sono detto, provo a bloccare la modifica del file usando chattr:

 

# chattr +i /etc/resolv.conf

# /etc/init.d/network-manager restart

 

a questo punto mi sentivo sicuro che il file non sarebbe stato modificato, ed invece mi sbagliavo, Network-Manager lo modifica ugualmente, e questo mi ha lasciato un'attimino spiazzato. Quindi il metodo più semplice per cambiare i dns, è quello grafico, come si vede nell'immagine, Network-Manager 1 Chattr 0 πŸ™‚

 

enjoy πŸ˜‰

Velocizzare connessione internet su Debian

 

Questo è un piccolo trucchetto che può aiutare a velocizzare la connessione internet e quindi la velocità  del nostro Iceweasel nel caricare le pagine web. Quello che ci serve è modificare nsswitch.conf, valido per Debian Squeeze/Wheezy.

 

# nano /etc/nsswitch.conf

 

e commentare la stringa hosts seguente:

 

#hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4

 

ed aggiungere sotto:

 

hosts:          files dns

 

da adesso in avanti i risultati saranno sicuramente migliori, spero πŸ™‚

 

enjoy πŸ˜‰

Wake on LAN (WOL) su Debian Squeeze

 

Wake on LAN (WOL) è uno standard Ethernet che consente di avviare un computer in standby da una postazione remota, a patto di conoscerne l'indirizzo MAC. Tutto questo è possibile dato che i computer recenti anche se spenti, continuano ad essere alimentati con una tensione di standby. Questa guida è stata testata su Debian Squeeze con dei pc in lan.

 

Requisiti:

Verificare che WOL sia attivato nel Bios dei pc che vogliamo accendere.

 

# apt-get install ethtool wakeonlan

 

verificare che sulla schede di rete sia abilitato WOL:

# ethtool eth0

 

il risultato nel mio caso è questo:

 

root@debian:/home/edmond# ethtool eth0
Settings for eth0:
    Supported ports: [ TP ]
    Supported link modes:   10baseT/Half 10baseT/Full
                            100baseT/Half 100baseT/Full
                            1000baseT/Full
    Supports auto-negotiation: Yes
    Advertised link modes:  10baseT/Half 10baseT/Full
                            100baseT/Half 100baseT/Full
                            1000baseT/Full
    Advertised pause frame use: No
    Advertised auto-negotiation: Yes
    Speed: 100Mb/s
    Duplex: Full
    Port: Twisted Pair
    PHYAD: 1
    Transceiver: internal
    Auto-negotiation: on
    MDI-X: on
    Supports Wake-on: pumbag
    Wake-on: g
    Current message level: 0x00000001 (1)
    Link detected: yes
 

"g" significa che WOL è abilitato

nel caso fosse su "d" significa che è disabilitato, quindi per abilitarlo:

 

# ethtool -s eth0 wol g

 

creare uno script chiamato wol ed inserire:

 

## /etc/init.d/wol
#
# chkconfig: 2345 99 99
# description: Force NIC into WOL mode
#
ethtool -s eth0 wol umbg
exit

 

quindi:

 

$ chmod a+x wol

# cp wol /etc/init.d/

# update-rc.d wol defaults

 

adesso per svegliare il nostro pc, basta inviare i Magic Packet:

 

$ wakeonlan indirizzo_mac_pc

 

 

enjoy πŸ™‚

Installazione di Metasploit su Debian Squeeze

 

 

Metasploit Project è un progetto di sicurezza informatica che fornisce informazioni sulle vulnerabilità, semplifica le operazioni di penetration testing ed aiuta nello sviluppo di sistemi di rilevamento di intrusioni. Il sub-project più conosciuto è Metasploit Framework, uno strumento per lo sviluppo e l'esecuzione di exploit ai danni di una macchina remota. Altri sub-project importanti comprendono l'Opcode Database, l'archivio di shellcode e la ricerca nella sicurezza (Wikipedia) Ci sono diverse distribuzioni Linux che si occupano di testare la sicurezza di un sistema, tra cui la più famosa è sicuramente Backtrack. Ma Metasploit possiamo anche installarlo sulla nostra distro preferita, nel caso specifico Debian Squeeze.

 

Requisiti:

 

# apt-get install build-essential subversion ruby libruby irb rdoc libyaml-ruby libzlib-ruby libopenssl-ruby libdl-ruby libreadline-ruby libiconv-ruby rubygems sqlite3 libsqlite3-ruby libsqlite3-dev

 

Installazione:

 

$ svn co https://metasploit.com/svn/framework3/trunk/ metasploit

$ cd metasploit

$ svn up

 

avvio in modo console:

 

$ ./msfconsole

 

premere help per visionare ulteriori comandi. Per il momento mi fermo quà, in una prossima guida non escludo di proseguire con degli esempi di utilizzo.

 

enjoy πŸ˜‰

Compat-wireless su Debian Squeeze/Sid

 

 

How-to su come installare i driver compat-wireless su Debian Squeeze/Sid. Su ubuntu si trovano nei repo sotto la voce linux-backports-modules-wireless, mentre per chi usa Debian e non solo si può usare questo metodo:

$ wget https://wireless.kernel.org/download/compat-wireless-2.6/compat-wireless-2.6.tar.bz2

$ tar xjvf compat-wireless-2.6*.tar.bz2

$ cd compat-wireless-*

a questo punto vediamo la lista dei driver racchiusi all'interno:

$ ./scripts/driver-select - it

edmond@debianbox:~/Scaricati/compat-wireless-2010-11-26$ ./scripts/driver-select – it
Usage: ./scripts/driver-select [ <driver-name> | <driver-group-name> | restore ]
Supported 802.11 drivers:
    ath5k
    ath9k
    ath9k_htc
    carl9170
    b43
    zd1211rw
    rt2x00
    wl1251
    wl12xx
    ath6kl
    brcm80211

Supported group drivers:
    atheros <  ath5k ath9k carl9170 zd1211rw >
    ath <  ath5k ath9k carl9170 >
    intel <  iwl3945 iwlagn ipw2100 ipw2200 >
    iwlwifi <  iwl3945 iwlagn >
    rtl818x <  rtl8180 rtl8187 >
    wl12xx <  wl1251 wl12xx (SPI and SDIO)>

Supported group drivers: Bluetooth & Ethernet:
    atlxx <  atl1 atl2 atl1e atl1c >
    bt <  Linux bluetooth drivers >
Restoring compat-wireless:
    restore: you can use this option to restore compat-wireless to the original state

 

scegliere il driver da compilare (es: rt2x00)

$ ./scripts/driver-select rt2x00

$ make

# make install

# make unload

# make load

oppure:

# modprobe nome_driver

Cracking facile facile di una rete wifi con Wifite

 

 

Wifite è un ottimo strumento per il cracking di reti wifi, in grado di semplificare e velocizzare di molto i parametri da lanciare ad airmon-ng airodump-ng aireplay-ng aircrack-ng. In questo post non mi soffermerò sugli aspetti tecnici e su spiegazioni varie di termini come: chiave wep,wpa,wpa2,ivs,handshake,bruteforce ecc ecc, di spiegazioni e guide sul web se ne trovano in abbondanza. Mi voglio invece soffermare sulla semplicità di utilizzo di Wifite e su quello che è in grado di fare. I punti di forza riguardano la possibilità di cracking di diverse reti in contemporanea, la gestione del monitor mode in maniera automatica,la possibilità di usare un attacco con dizionario, la gestione automatica di tutti i passaggi, dal fake mac address al cracking finale della rete, l'interfaccia grafica, e diverse altre opzioni di configurazione. Detto ciò non mi rimane che ricordare, semmai ce ne fosse bisogno, che il cracking senza il consenso del proprietario della rete è illegale,illegale,illegale.

Testato su Debian Squeeze.

Requisiti:

# apt-get install xterm python-tk macchanger pyrit libssl-dev

più la versione di Aircrack-ng 1.1, e siccome nella  maggior parte dei casi nei repo si trova la versione 1.,0, non ci resta che installarla da sorgenti:

$ wget https://download.aircrack-ng.org/aircrack-ng-1.1.tar.gz

$ tar -zxvf aircrack-ng-1.1.tar.gz

$ cd aircrack-ng-1.1

$ make

$ sudo make install

Scaricare Wifite:

$ wget -O wifite.py

$ chmod +x wifite.py

# ./wifite.py

Una volta avviato lo script non ci resta che spuntare le opzioni ed attendere la fine del lavoro, di seguito due immagini di Wifite al lavoro, con relativo cracking di una chiave wep.

nell'immagine sopra si leggono le opzioni scelte, e si è in attesa dello sniffing di eventuali reti.

 

qui sopra invece si vede la riuscita del cracking, sotto il colore rosso c'è il nome della rete attaccata, sotto il giallo invece si nasconde la password trovata. Da notare che la password è stata trovata con circa 15000 ivs. In conclusione questo script secondo me è ottimo, e ti fa risparmiare tempo e terminali aperti.

Update:

Su ubuntu 10.10 per compilare ed installare pyrit:

sudo apt-get install libssl-dev

wget -O wifite.py

tar xvzf pyrit-0.3.0.tar.gz

cd pyrit-0.3.0

python setup.py build

sudo python setup.py install

enjoi πŸ™‚

Webcam virtuale con Webcamstudio

 

 

WebcamStudio è un ottima applicazione rilasciata sotto licenza GPL, che tra le tante caratteristiche ne ha una molto particolare, e cioè la possibilità di simulare una webcam, e quindi,  può riuscire ad ingannare la persona con cui stiamo interloquendo tramite amsn o skype, facendogli vedere un filmato ed ingannandola di conseguenza,  in quanto crede che quello che sta vedendo avviene in diretta. Sul sito si può scaricare il pacchetto .deb per chi usa Ubuntu, per gli altri, che usano distro diverse compreso me che sono su Debian Sid, bisogna prima verificare se sia presente il modulo vloopback, altrimenti compilarlo:

debianbox:/home/edmond# lsmod | grep vloopback
vloopback               9678  0
videodev               25211  4 vloopback,tuner,saa7134,v4l2_common

in caso negativo lo compiliamo con module-assistant:

# apt-get install module-assistant vloopback-source

# m-a prepare

# m-a a-i vloopback-source

# reboot

a questo punto verifichiamo che il modulo sia presente e poi avviamo WebcamStudio:

tar zxvf WebcamStudio_0.53.tar.gz

cd webcamstudio

java -jar "WebcamStudio.jar"

Aspire One Linux e modem HSDPA-HSUPA Option-GTM380-GlobeTrotter

Ho da poco preso un Acer Aspire One A150X, con modem HSUPA embedded,  e diciamo che sono contento in quanto col pinguino, al momento non ho riscontrato problemi seri. Come distribuzione ho installato Debian, poi ho provato Kuki , ma non mi è piaciuta, del resto è ancora in alfa. Per ultimo ho provato  Linux4one, a cui faccio i miei complimenti a tutto lo staff. Usando proprio questa distro mi sono accorto del problema di connessione tramite questo modem, in quanto non è stato inserito il modulo hso, determinante per il corretto funzionamento. Problema noto come si evince dalle discussioni nel forum.

Dando il comando lsusb, io ottengo questo:

 

ID 0af0:7211 Option

ma col modulo hso funzionano anche tutti questi, come è scritto sul sito di riferimento.

{default_port_device(0x0af0, 0x6711)},
{default_port_device(0x0af0, 0x6731)},
{default_port_device(0x0af0, 0x6751)},
{default_port_device(0x0af0, 0x6771)},
{default_port_device(0x0af0, 0x6791)},
{default_port_device(0x0af0, 0x6811)},
{default_port_device(0x0af0, 0x6911)},
{default_port_device(0x0af0, 0x6951)},
{default_port_device(0x0af0, 0x6971)},
{default_port_device(0x0af0, 0x7011)},
{default_port_device(0x0af0, 0x7031)},
{default_port_device(0x0af0, 0x7051)},
{default_port_device(0x0af0, 0x7071)},
{default_port_device(0x0af0, 0x7111)},
{default_port_device(0x0af0, 0x7211)},
{default_port_device(0x0af0, 0x7251)},
{default_port_device(0x0af0, 0x7271)},
{default_port_device(0x0af0, 0x7311)},
{default_port_device(0x0af0, 0xc031)}, /* Icon-Edge */
{icon321_port_device(0x0af0, 0xd013)}, /* Module HSxPA */
{icon321_port_device(0x0af0, 0xd031)}, /* Icon-321 */
{icon321_port_device(0x0af0, 0xd033)}, /* Icon-322 */
{USB_DEVICE(0x0af0, 0x7301)}, /* GE40x */
{USB_DEVICE(0x0af0, 0x7361)}, /* GE40x */
{USB_DEVICE(0x0af0, 0x7401)}, /* GI 0401 */
{USB_DEVICE(0x0af0, 0x7501)}, /* GTM 382 */
{USB_DEVICE(0x0af0, 0x7601)}, /* GE40x */
{USB_DEVICE(0x0af0, 0x7701)},
{USB_DEVICE(0x0af0, 0x7801)},
{USB_DEVICE(0x0af0, 0x7901)},
{USB_DEVICE(0x0af0, 0x7361)},
{icon321_port_device(0x0af0, 0xd051)},

Con Debian per esempio basta un semplice:

modprobe hso

Incominciamo installando un po di cose:

apt-get install build-essential bin86 kernel-package libncurses5 libncurses5-dev fakeroot module-init-tools

apt-get install libusb-dev libusb++-dev libusb++-0.1-4c2 python2.5-dev

Per ovviare a questo problema con Linux4one, ci sono 2 strade. La prima è quella di ricompilarsi il kernel, con il solito metodo, descritto qua. Una volta dato il comando make menuconfig, portarsi alla voce Device Drivers>Network device support>Usb Network Adapters ed andiamo a modularizzare Option Usb. Poi, giusto per non farsi mancare niente, sempre nella sezione Device drivers>Usb support>Usb Serial Converter, modularizzare Usb driver for Gsm. A questo punto salvare, e dopo la ricompilazione ci ritroveremo con i pacchetti linux-headers e linux-image. Una volta installati con dpkg e riavviato saremo pronti per connetterci con il nostro modem, non prima però di aver scaricato i tre pacchetti che ci servono hsolink , hsoconnect e Ozerocdoff . Quest’ultimo da installare con  il classico :

tar zxf udev.tar.gz

cd udev

sudo make

sudo make install

A questo punto inseriamo in /etc/modules

ppp_async

ppp_generic

pppoe

usbserial vendor=0x0af0 product=0x7211 (sostituire se il vostro è diverso)

poi ancora:

sudo gedit /etc/hso-suspend.conf

ed inserire NONE al posto di 5 seconds

reboot

Al momento della connessione con HSOconnect apparirà una finestra di debug dove all’interno se tutto va bene non dovranno apparire errori. Nella finestra di HSOconnect, andare in profile-edit, ed inserire l’ apn, nel mio caso ibox.tim.it, come username e password, mettere due parole a caso. A questo punto siamo pronti a testare il tutto con:

python -m  hsoc

La seconda strada  è quella di scaricare linux-headers e linux-image  ricompilati da me, ed installarli, per poi procedere con l’installazione di hsolink, hsoconnect e ozerocdoff ecc.ecc. il tutto scaricabile qua. Con questi semplici passi la connessione è andata ieri ed oggi senza mai disconnettersi per ore, ed ho scaricato anche un file da 150 mega, preciso questo perchè la ricompilazione l’ho eseguita su una installazione pulita di Linux4one, poichè in una precedente installazione, dove avevo scaricato e compilato Hso driver e fatto altri esperimenti e tentativi, la connessione era altalenante e s’impallava spesso, ero riuscito tramite un workaround a farla andare,ma mi sono accorto che il metodo migliore è quello che ho appena descritto su di una installazione pulita, insieme all’utilizzo di Hsoconnect

 

 

 

Importante:

Tenere presente che il led del 3g è funzionante, quindi la lucina deve essere verde, altrimenti il modem non viene trovato.

 

Problemi riscontrati:

Ho notato che ogni tanto il device ttyHS1 scompare, ma una volta riavviato tutto torna OK, quindi e meglio non cambiare nulla in /usr/share/HSOconnect. Ho notato anche dei problemi di stabilità, ma sto verificando alcune soluzioni tra cui la patch di Alan Cox.

 

Aggiornamento:

Va tutto alla grande, chiaramente più il segnale è forte più si naviga velocemente. Ho raggiunto la velocità di 5,9 mega

in download ed 1,3 in upload.

Un altro how-to particolareggiato scritto da me, lo trovate sul forum.

 

 

Shorewall installazione e configurazione

ο»Ώ

 

Shorewall (Shoreline Firewall) è un firewall che si appoggia al sistema  Netfilter (iptables/ipchains) del kernel Linux, per una più semplice gestione di avanzate configurazioni di rete. Prima di iniziare nell'installazione di shorewall, bisogna prima disinstallare eventualmente l'altro firewall. Esempio: firestarter:

# apt-get remove --purge firestarter

# apt-get install shorewall shorewall-common shorewall-shell shorewall-doc dash

 

1) Partiamo con la configurazione del file interfaces:

# gedit /etc/shorewall/interfaces

all'interno copiamo questo:

# Shorewall version 3.0 – Sample Interfaces File for one-interface configuration.
#
# /etc/shorewall/interfaces
#
# You must add an entry in this file for each network interface on your
# firewall system.
#
# Columns are:
#
# ZONE Zone for this interface. Must match the name of a
# zone defined in /etc/shorewall/zones. You may not
# list the firewall zone in this column.
#
# If the interface serves multiple zones that will be
# defined in the /etc/shorewall/hosts file, you should
# place "-" in this column.
#
# If there are multiple interfaces to the same zone,
# you must list them in separate entries:
#
# Example:
#
# loc eth1 –
# loc eth2 –
#
# INTERFACE Name of interface. Each interface may be listed only
# once in this file. You may NOT specify the name of
# an alias (e.g., eth0:0) here; see
# https://www.shorewall.net/FAQ.htm#faq18
#
# You may specify wildcards here. For example, if you
# want to make an entry that applies to all PPP
# interfaces, use 'ppp+'.
#
# There is no need to define the loopback interface (lo)
# in this file.
#
# BROADCAST The broadcast address for the subnetwork to which the
# interface belongs. For P-T-P interfaces, this
# column is left blank.If the interface has multiple
# addresses on multiple subnets then list the broadcast
# addresses as a comma-separated list.
#
# If you use the special value "detect", the firewall
# will detect the broadcast address for you. If you
# select this option, the interface must be up before
# the firewall is started, you must have iproute
# installed.
#
# If you don't want to give a value for this column but
# you want to enter a value in the OPTIONS column, enter
# "-" in this column.
#
# OPTIONS A comma-separated list of options including the
# following:
#
# dhcp – Specify this option when any of
# the following are true:
# 1. the interface gets its IP address
# via DHCP
# 2. the interface is used by
# a DHCP server running on the firewall
# 3. you have a static IP but are on a LAN
# segment with lots of Laptop DHCP
# clients.
# 4. the interface is a bridge with
# a DHCP server on one port and DHCP
# clients on another port.
#
# norfc1918 – This interface should not receive
# any packets whose source is in one
# of the ranges reserved by RFC 1918
# (i.e., private or "non-routable"
# addresses. If packet mangling or
# connection-tracking match is enabled in
# your kernel, packets whose destination
# addresses are reserved by RFC 1918 are
# also rejected.
#
# routefilter – turn on kernel route filtering for this
# interface (anti-spoofing measure). This
# option can also be enabled globally in
# the /etc/shorewall/shorewall.conf file.
#
# logmartians – turn on kernel martian logging (logging
# of packets with impossible source
# addresses. It is suggested that if you
# set routefilter on an interface that
# you also set logmartians. This option
# may also be enabled globally in the
# /etc/shorewall/shorewall.conf file.
#
# blacklist – Check packets arriving on this interface
# against the /etc/shorewall/blacklist
# file.
#
# maclist – Connection requests from this interface
# are compared against the contents of
# /etc/shorewall/maclist. If this option
# is specified, the interface must be
# an ethernet NIC and must be up before
# Shorewall is started.
#
# tcpflags – Packets arriving on this interface are
# checked for certain illegal combinations
# of TCP flags. Packets found to have
# such a combination of flags are handled
# according to the setting of
# TCP_FLAGS_DISPOSITION after having been
# logged according to the setting of
# TCP_FLAGS_LOG_LEVEL.
#
# proxyarp –
# Sets
# /proc/sys/net/ipv4/conf/<interface>/proxy_arp.
# Do NOT use this option if you are
# employing Proxy ARP through entries in
# /etc/shorewall/proxyarp. This option is
# intended soley for use with Proxy ARP
# sub-networking as described at:
#
#
# routeback – If specified, indicates that Shorewall
# should include rules that allow
# filtering traffic arriving on this
# interface back out that same interface.
#
# arp_filter – If specified, this interface will only
# respond to ARP who-has requests for IP
# addresses configured on the interface.
# If not specified, the interface can
# respond to ARP who-has requests for
# IP addresses on any of the firewall's
# interface. The interface must be up
# when Shorewall is started.
#
# arp_ignore[=<number>]
# – If specified, this interface will
# respond to arp requests based on the
# value of <number>.
#
# 1 – reply only if the target IP address
# is local address configured on the
# incoming interface
#
# 2 – reply only if the target IP address
# is local address configured on the
# incoming interface and both with the
# sender's IP address are part from same
# subnet on this interface
#
# 3 – do not reply for local addresses
# configured with scope host, only
# resolutions for global and link
# addresses are replied
#
# 4-7 – reserved
#
# 8 – do not reply for all local
# addresses
#
# If no <number> is given then the value
# 1 is assumed
#
# WARNING — DO NOT SPECIFY arp_ignore
# FOR ANY INTERFACE INVOLVED IN PROXY ARP.
#
# nosmurfs – Filter packets for smurfs
# (packets with a broadcast
# address as the source).
#
# Smurfs will be optionally logged based
# on the setting of SMURF_LOG_LEVEL in
# shorewall.conf. After logging, the
# packets are dropped.
#
# detectnets – Automatically taylors the zone named
# in the ZONE column to include only those
# hosts routed through the interface.
#
# upnp – Incoming requests from this interface
# may be remapped via UPNP (upnpd).
#
# WARNING: DO NOT SET THE detectnets OPTION ON YOUR
# INTERNET INTERFACE.
#
# The order in which you list the options is not
# significant but the list should have no embedded white
# space.
#
# Example 1: Suppose you have eth0 connected to a DSL modem and
# eth1 connected to your local network and that your
# local subnet is 192.168.1.0/24. The interface gets
# it's IP address via DHCP from subnet
# 206.191.149.192/27. You have a DMZ with subnet
# 192.168.2.0/24 using eth2.
#
# Your entries for this setup would look like:
#
# net eth0 206.191.149.223 dhcp
# local eth1 192.168.1.255
# dmz eth2 192.168.2.255
#
# Example 2: The same configuration without specifying broadcast
# addresses is:
#
# net eth0 detect dhcp
# loc eth1 detect
# dmz eth2 detect
#
# Example 3: You have a simple dial-in system with no ethernet
# connections.
#
# net ppp0 –
#
# For additional information, see
#
#
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth0   detect      routefilter,dhcp,tcpflags,logmartians,nosmurfs
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE

 

Attenzione:Se al posto del router abbiamo un modem cambiare eth0 con ppp0. In ogni caso cercare di adattarlo alle nostre esigenze e configurazione.

 

2) Configurazione del file policy:

# gedit /etc/shorewall/policy

all'interno copiamo questo:

# Shorewall version 3.0 – Sample Policy File for one-interface configuration.
#
# /etc/shorewall/policy
#
# THE ORDER OF ENTRIES IN THIS FILE IS IMPORTANT
#
# This file determines what to do with a new connection request if we
# don't get a match from the /etc/shorewall/rules file . For each
# source/destination pair, the file is processed in order until a
# match is found ("all" will match any client or server).
#
# INTRA-ZONE POLICIES ARE PRE-DEFINED
#
# For $FW and for all of the zoned defined in /etc/shorewall/zones,
# the POLICY for connections from the zone to itself is ACCEPT (with no
# logging or TCP connection rate limiting but may be overridden by an
# entry in this file. The overriding entry must be explicit (cannot use
# "all" in the SOURCE or DEST).
#
# Columns are:
#
# SOURCE Source zone. Must be the name of a zone defined
# in /etc/shorewall/zones, $FW or "all".
#
# DEST Destination zone. Must be the name of a zone defined
# in /etc/shorewall/zones, $FW or "all"
#
# POLICY Policy if no match from the rules file is found. Must
# be "ACCEPT", "DROP", "REJECT", "CONTINUE" or "NONE".
#
# ACCEPT – Accept the connection
# DROP – Ignore the connection request
# REJECT – For TCP, send RST. For all other,
# send "port unreachable" ICMP.
# QUEUE – Send the request to a user-space
# application using the QUEUE target.
# CONTINUE – Pass the connection request past
# any other rules that it might also
# match (where the source or
# destination zone in those rules is
# a superset of the SOURCE or DEST
# in this policy).
# NONE – Assume that there will never be any
# packets from this SOURCE
# to this DEST. Shorewall will not set
# up any infrastructure to handle such
# packets and you may not have any
# rules with this SOURCE and DEST in
# the /etc/shorewall/rules file. If
# such a packet _is_ received, the
# result is undefined. NONE may not be
# used if the SOURCE or DEST columns
# contain the firewall zone ($FW) or
# "all".
#
# If this column contains ACCEPT, DROP or REJECT and a
# corresponding common action is defined in
# /etc/shorewall/actions (or
# /usr/share/shorewall/actions.std) then that action
# will be invoked before the policy named in this column
# is enforced.
#
# LOG LEVEL If supplied, each connection handled under the default
# POLICY is logged at that level. If not supplied, no
# log message is generated. See syslog.conf(5) for a
# description of log levels.
#
# Beginning with Shorewall version 1.3.12, you may
# also specify ULOG (must be in upper case). This will
# log to the ULOG target and sent to a separate log
# through use of ulogd
# ).
#
# If you don't want to log but need to specify the
# following column, place "-" here.
#
# LIMIT:BURST If passed, specifies the maximum TCP connection rate
# and the size of an acceptable burst. If not specified,
# TCP connections are not limited.
#
# See for additional information.
#
###############################################################################
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
$FW net ACCEPT
net all DROP info
# The FOLLOWING POLICY MUST BE LAST
all all REJECT info
#LAST LINE — ADD YOUR ENTRIES ABOVE THIS LINE — DO NOT REMOVE

 

 

3) Creazione del file di configurazione zones:

# gedit /etc/shorewall/zones

all'interno copiamo questo:

# Shorewall version 3.0 – Sample Zones File for one-interface configuration.
#
# /etc/shorewall/zones
#
# This file determines your network zones.
#
# Columns are:
#
# ZONE Short name of the zone (5 Characters or less in length).
# The names "all" and "none" are reserved and may not be
# used as zone names.
#
# Where a zone is nested in one or more other zones,
# you may follow the (sub)zone name by ":" and a
# comma-separated list of the parent zones. The parent
# zones must have been defined in earlier records in this
# file.
#
# Example:
#
# #ZONE TYPE OPTIONS
# a ipv4
# b ipv4
# c:a,b ipv4
#
# Currently, Shorewall uses this information only to reorder the
# zone list so that parent zones appear after their subzones in
# the list. In the future, Shorewall may make more extensive use
# of that information.
#
# TYPE ipv4 – This is the standard Shorewall zone type and is the
# default if you leave this column empty or if you enter
# "-" in the column. Communication with some zone hosts
# may be encrypted. Encrypted hosts are designated using
# the 'ipsec'option in /etc/shorewall/hosts.
# ipsec – Communication with all zone hosts is encrypted
# Your kernel and iptables must include policy
# match support.
# firewall
# – Designates the firewall itself. You must have
# exactly one 'firewall' zone. No options are
# permitted with a 'firewall' zone. The name that you
# enter in the ZONE column will be stored in the shell
# variable $FW which you may use in other configuration
# files to designate the firewall zone.
#
# OPTIONS, A comma-separated list of options as follows:
# IN OPTIONS,
# OUT OPTIONS reqid=<number> where <number> is specified
# using setkey(8) using the 'unique:<number>
# option for the SPD level.
#
# spi=<number> where <number> is the SPI of
# the SA used to encrypt/decrypt packets.
#
# proto=ah|esp|ipcomp
#
# mss=<number> (sets the MSS field in TCP packets)
#
# mode=transport|tunnel
#
# tunnel-src=<address>[/<mask>] (only
# available with mode=tunnel)
#
# tunnel-dst=<address>[/<mask>] (only
# available with mode=tunnel)
#
# strict Means that packets must match all rules.
#
# next Separates rules; can only be used with
# strict..
#
# Example:
# mode=transport,reqid=44
#
# The options in the OPTIONS column are applied to both incoming
# and outgoing traffic. The IN OPTIONS are applied to incoming
# traffic (in addition to OPTIONS) and the OUT OPTIONS are
# applied to outgoing traffic.
#
# If you wish to leave a column empty but need to make an entry
# in a following column, use "-".
#
# THE ORDER OF THE ENTRIES IN THIS FILE IS IMPORTANT IF YOU HAVE NESTED OR
# OVERLAPPING ZONES DEFINED THROUGH /etc/shorewall/hosts.
#
# See
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
#LAST LINE – ADD YOUR ENTRIES ABOVE THIS ONE – DO NOT REMOVE

 

 

4) Configurazione del file rules.

# gedit /etc/shorewall/rules

all'interno copiamo questo:

Leggi tutto “Shorewall installazione e configurazione”