Debian Gnu-Linux Opensource
Avevo già parlato in passato di Exiftool, uno strumento che serve ad estrarre tutti i dati exif da una foto. Nei repo ci sono sicuramente altri programmi per ottenere i dati exif, ma questo è quello che io uso da qualche anno ed ormai mi ci sono affezzionato. Nel mio repository si trovano i pacchetti pronti:
Download amd64
Download i386
enjoy 😉
Negli ultimi periodi capita di avere chiavette usb o hard disk in abbondanza, e quindi di non riuscire più ad utilizzarli. Può capitare di regalare o vendere queste unità disco, e per una questione di sicurezza, sarebbe meglio fare in modo che nessuno si diverta a recuperare qualche dato personale. E' stato dimostrato che più del 30% dei pc connessi ad internet quotidianamente, naviga su siti porno, salvando foto e video zozzi, come fa Picchiopc. Quindi l'obiettivo è quello di rendere la vita difficile a chi vuole sbirciare nelle abitudini altrui 🙂 Una volta identificato il disco da formattare, il comando è semplice:
$ sudo dd if=/dev/zero of=/dev/sdX
enjoy 😉
Inserire in un unico CD/DVD o chiavetta USB, più sistemi operativi, può essere molto comodo, sia per quanto riguarda il risparmio degli stessi CD/DVD, sia perchè si avranno a portata di mano, tutti gli strumenti, che potranno aiutarci a risolvere alcune problematiche. L'altro fattore importante, secondo me, e che questo CD/DVD Live, può essere costruito in multi architetture, quindi chi avrà sui propri hard disk differenti O:S. e diferrenti architetture, si troverà un unico strumento che gli permetterà di chroottarsi all'occorrenza. MultiCD non è altro che uno script che ci aiuta a costruire il nostro DVD personalizzato, Io per esempio, ho un DVD mutidistro, di 3,8 giga, costruito con dentro una Debian Live 64bit, Clonezilla,Backtrack,Gparted,Ultimate Boot CD.
Requisiti:
Procurarsi le iso degli O.S supportati:
poi:
$ wget ftp://downloads.tuxfamily.org/multicd/multicd-6.8.sh
$ chmod +x multicd-6.8.sh
# apt-get install genisoimage
a questo punto bisogna modificare i nomi dei sistemi scaricati, come descritto sul sito, per esempio:
$ mv debian-live-6.0.3-i386-gnome-desktop.iso binary.iso
$ mv clonezilla-live-1.2.8-46-i686.iso clonezilla.iso
$ ecc. ecc. ecc.
adesso basta lanciare lo script MultiCD, ed aspettare qualche minuto:
#./multicd-6.8.sh
enjoy 😉
La mia sheela
Ho già parlato in passato di exiftool, e di quanto sia importante cancellare i metadati che si nascondono in una foto, prima di distribuirla in giro. Comunque, per motivi che non sto qui a spiegare, io controllo sempre i dati nelle foto, poichè, questo mi fa capire, con l'aiuto di domande mirate successive, se chi le ha inviate dice il vero. Ma se io volessi deliberatamente mentire? far credere che quella foto sia stata scattata in una data diversa, e quindi ingannare un'occhio poco attento?….come fare??? Semplice, basta manipolare la data con exiftool. Come esempio porto la foto leggermente "purificata" della mia sheela, scattata nel 2007. I dati presenti sulla foto sono i seguenti:
ORIGINALE:
edmond@Debianbox:~/Desktop/test$ exiftool -a -u -g1 sheela.jpg
—- ExifTool —-
ExifTool Version Number : 8.60
—- System —-
File Name : sheela.jpg
Directory : .
File Size : 189 kB
File Modification Date/Time : 2007:09:30 15:23:51+02:00
File Permissions : rw-r—–
—- File —-
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 375
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:4:4 (1 1)
—- JFIF —-
JFIF Version : 1.01
Resolution Unit : inches
X Resolution : 72
Y Resolution : 72
—- Composite —-
Image Size : 500×375
quindi per manipolare la data, facendo anche una copia dell'originale, il comando da usare è il seguente:
$ exiftool -DateTimeOriginal='2012:01:15 14:50:04' foto.jpg
FAKE:
edmond@Debianbox:~/Desktop/test$ exiftool -DateTimeOriginal='2012:01:15 14:50:04' sheela.jpg
1 image files updated
edmond@Debianbox:~/Desktop/test$ exiftool -a -u -g1 sheela.jpg—- ExifTool —-
ExifTool Version Number : 8.60
—- System —-
File Name : sheela.jpg
Directory : .
File Size : 190 kB
File Modification Date/Time : 2012:01:15 14:50:37+01:00
File Permissions : rw-r—–
—- File —-
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
Image Width : 500
Image Height : 375
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:4:4 (1 1)
—- JFIF —-
JFIF Version : 1.01
Resolution Unit : inches
X Resolution : 72
Y Resolution : 72
—- IFD0 —-
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
—- ExifIFD —-
Exif Version : 0230
Date/Time Original : 2012:01:15 14:50:04
Components Configuration : Y, Cb, Cr, –
Flashpix Version : 0100
Color Space : Uncalibrated
—- Composite —-
Image Size : 500×375
per cancellare tutti i metadati:
$ exiftool -all= foto.jpg
enjoy 😉
Reaver WPS riesce con un attaco brute force a decifrare la password wpa/wpa2 della nostra rete, in determinate condizioni. Prima di tutto il WPS o Wi-Fi Protected Setup è diffuso nei router domestici, in genere lo si trova sotto la voce wifi-protezione. La vulnerabilità si nasconde prorpio in questo standard, in quanto, se si utilizza la modalità di inserimento pin al posto del push button, questa apre una falla. Praticamente bombardando il router di pacchetti, questo restituisce molte informazioni utili al cracking. Comunque in rete si trovano spiegazioni più esaustive e dettagliate. Come prima cosa bisogna installare aircrack-ng, e compilarselo, dato che non è più presente nei repository ufficiali, oppure prelevarlo dal mio repository. Per avere quindi reaver su Debian:
$ sudo apt-get install libpcap0.8-dev libsqlite3-dev
$ wget
$ tar -xvf reaver-1.3.tar.gz
$ cd reaver-1.3/src/
$ ./configure
$ make
$ sudo make install
mettere in monitor mode la scheda:
# airmon-ng start wlan0
il comando sopra creerà mon0 in monitor mode
Interface Chipset Driver
wlan0 Ralink 2561 PCI rt61pci – [phy0]
(monitor mode enabled on mon0)
scanning per rilevare reti wpa:
# walsh -i mon0 --ignore-fcs
attacco:
# reaver -i mon0 -b 00:11:22:33:44:55 --dh-small
per altri comandi leggere la documentazione all'interno del pacchetto.
enjoy 😉
Metasploit Project è un progetto di sicurezza informatica che fornisce informazioni sulle vulnerabilità, semplifica le operazioni di penetration testing ed aiuta nello sviluppo di sistemi di rilevamento di intrusioni. Il sub-project più conosciuto è Metasploit Framework, uno strumento per lo sviluppo e l'esecuzione di exploit ai danni di una macchina remota. Altri sub-project importanti comprendono l'Opcode Database, l'archivio di shellcode e la ricerca nella sicurezza (Wikipedia) Ci sono diverse distribuzioni Linux che si occupano di testare la sicurezza di un sistema, tra cui la più famosa è sicuramente Backtrack. Ma Metasploit possiamo anche installarlo sulla nostra distro preferita, nel caso specifico Debian Squeeze.
Requisiti:
# apt-get install build-essential subversion ruby libruby irb rdoc libyaml-ruby libzlib-ruby libopenssl-ruby libdl-ruby libreadline-ruby libiconv-ruby rubygems sqlite3 libsqlite3-ruby libsqlite3-dev
Installazione:
$ svn co https://metasploit.com/svn/framework3/trunk/ metasploit
$ cd metasploit
$ svn up
avvio in modo console:
$ ./msfconsole
premere help per visionare ulteriori comandi. Per il momento mi fermo quà, in una prossima guida non escludo di proseguire con degli esempi di utilizzo.
enjoy 😉
A me spesso capita che mi si blocchi la porta del cdrom e di conseguenza non si riesce ad espellere il cd/dvd, questo può dipendere dalla cattiva qualita di un cd, magari di quelli rw usati un infinità di volte. In questa situazione 98 volte su 100 bisogna riavviare poichè nemmeno un:
$ eject /dev/cdrom0
riesce ad espellerlo, quindi la soluzione è quella di disattivare il blocco della porta del cdrom:
# echo 0 > /proc/sys/dev/cdrom/autoclose
# echo 0 > /proc/sys/dev/cdrom/lock
per rendere definitive le modifiche:
# nano /etc/sysctl.conf
ed inserire:
dev.cdrom.autoclose=0
dev.cdrom.lock=0
Questo è un periodo di vacanze e di conseguenza è anche il periodo di furti e smarrimenti, quindi mi sono messo subito alla ricerca di un sistema che mi permettesse in caso di bisogno di riuscire a ritrovare il mio netbook acer aspire one. A questo punto bisogna fare certamente delle precisazioni poichè se il ladro è un geek e la prima cosa che fa è quella di formattare il pc è chiaro che di possibilità di ritrovarlo non ce ne sono, dato che il programma che sto per recensire risiede nell'hard disk e non nel bios. Ma volendo essere ottimisti e tenendo conto che la maggior parte dei ladruncoli non sono esperti ed è gente che frequenta il tuo stesso ambiente, non si sa mai che un giorno o l'altro ci si rincontri. Ma per poter agire bisogna sapere chi è, rintracciare il pc ed ottenere una sua foto, e a questo proposito vediamo come fare. Quello di cui abbiamo bisogno si chiama Prey ed è un programma rilasciato sotto licenza GPLv3, per Mac Linux e Windows, in grado di raccogliere informazioni da remoto sul pc rubato, come programmi in esecuzione, geo localizzazione wifi e soprattutto una bella foto di chi si trova davanti al pc, il tutto lavorando in background e cercando di connettersi alla prima rete disponibile.
Installazione e funzionamento:
Per Debian/Ubuntu esiste il .deb:
$ wget
una volta installato registrarsi sul sito per avere la Api Key ed aggiungere il device, per ottenere la Device Key, dopo avviare in Strumenti di Sistema > Prey Configurator ed inserire il tutto. A questo punto nella pagina https://control.preyproject.com/ si possono scegliere i parametri e soprattutto nel caso di smarrimento spuntare l'opzione missing per avviare i report.
Per altre distro:
$ wget
$ unzip prey-0.3.73-linux.zip
# mv prey /usr/share/
# nano /usr/share/prey/config
ed inserire le Key Api e Device:
aggiungere a crontab il controllo ogni 20 minuti:
$ (sudo crontab -l | grep -v prey; echo "*/20 * * * * /usr/share/prey/prey.sh > /dev/null") | sudo crontab -
per verificare:
$ sudo crontab -l
$ ps aux | grep cron
per modificare:
$ sudo crontab -e
c'è anche la possibilità dell'invio via mail degli avvisi, basta inserire il proprio account e password, bisogna fare attenzione che l'inserimento della password è in chiaro, per ovviare al problema e criptarla:
$ echo -n "password_mail" | openssl enc -base64
per modificare i parametri della webcam il file si trova in /usr/share/prey/modules/webcam/config
ho fatto diverse prove e devo dire che tutto sommato non è niente male, i vari parametri ci sono tutti per un eventuale rintracciamento, ma la speranza è che le foto vengono abbastanza nitide per riconoscere il furfante e fargli un bel discorsetto. Io ne ho beccato uno….ma ho l'impressione che sarà dura fargli quel discorso che avevo in mente 🙂
Questo è un piccolo trucchetto per cifrare velocemente un file. Come ho avuto modo di scrivere in passato per altri metodi
qua e qua,la sicurezza non è mai troppa, specialmente quando si scrivono su un file dei dati sensibili.
Quello che serve è Mcrypt:
# apt-get install mcrypt
quindi per cifrare un file usiamo questi comandi:
mcrypt -a blowfish nome_file
dove -a indica l’algoritmo di cifratura. Per la lista completa:
mcrypt --l
a questo punto sceglieremo una password che inseriremo due volte, e ci troveremo un file criptato con estensione .nc.
Adesso non rimane che distruggere l’originale:
shred -n 10 -u -z -v nome_file
per decifrare il file:
mdecrypt nome_file.nc
Tutto qua, per altre opzioni man mcrypt
Shorewall (Shoreline Firewall) è un firewall che si appoggia al sistema Netfilter (iptables/ipchains) del kernel Linux, per una più semplice gestione di avanzate configurazioni di rete. Prima di iniziare nell'installazione di shorewall, bisogna prima disinstallare eventualmente l'altro firewall. Esempio: firestarter:
# apt-get remove --purge firestarter
# apt-get install shorewall shorewall-common shorewall-shell shorewall-doc dash
1) Partiamo con la configurazione del file interfaces:
#gedit /etc/shorewall/interfaces
all'interno copiamo questo:
# Shorewall version 3.0 – Sample Interfaces File for one-interface configuration.
#
# /etc/shorewall/interfaces
#
# You must add an entry in this file for each network interface on your
# firewall system.
#
# Columns are:
#
# ZONE Zone for this interface. Must match the name of a
# zone defined in /etc/shorewall/zones. You may not
# list the firewall zone in this column.
#
# If the interface serves multiple zones that will be
# defined in the /etc/shorewall/hosts file, you should
# place "-" in this column.
#
# If there are multiple interfaces to the same zone,
# you must list them in separate entries:
#
# Example:
#
# loc eth1 –
# loc eth2 –
#
# INTERFACE Name of interface. Each interface may be listed only
# once in this file. You may NOT specify the name of
# an alias (e.g., eth0:0) here; see
# https://www.shorewall.net/FAQ.htm#faq18
#
# You may specify wildcards here. For example, if you
# want to make an entry that applies to all PPP
# interfaces, use 'ppp+'.
#
# There is no need to define the loopback interface (lo)
# in this file.
#
# BROADCAST The broadcast address for the subnetwork to which the
# interface belongs. For P-T-P interfaces, this
# column is left blank.If the interface has multiple
# addresses on multiple subnets then list the broadcast
# addresses as a comma-separated list.
#
# If you use the special value "detect", the firewall
# will detect the broadcast address for you. If you
# select this option, the interface must be up before
# the firewall is started, you must have iproute
# installed.
#
# If you don't want to give a value for this column but
# you want to enter a value in the OPTIONS column, enter
# "-" in this column.
#
# OPTIONS A comma-separated list of options including the
# following:
#
# dhcp – Specify this option when any of
# the following are true:
# 1. the interface gets its IP address
# via DHCP
# 2. the interface is used by
# a DHCP server running on the firewall
# 3. you have a static IP but are on a LAN
# segment with lots of Laptop DHCP
# clients.
# 4. the interface is a bridge with
# a DHCP server on one port and DHCP
# clients on another port.
#
# norfc1918 – This interface should not receive
# any packets whose source is in one
# of the ranges reserved by RFC 1918
# (i.e., private or "non-routable"
# addresses. If packet mangling or
# connection-tracking match is enabled in
# your kernel, packets whose destination
# addresses are reserved by RFC 1918 are
# also rejected.
#
# routefilter – turn on kernel route filtering for this
# interface (anti-spoofing measure). This
# option can also be enabled globally in
# the /etc/shorewall/shorewall.conf file.
#
# logmartians – turn on kernel martian logging (logging
# of packets with impossible source
# addresses. It is suggested that if you
# set routefilter on an interface that
# you also set logmartians. This option
# may also be enabled globally in the
# /etc/shorewall/shorewall.conf file.
#
# blacklist – Check packets arriving on this interface
# against the /etc/shorewall/blacklist
# file.
#
# maclist – Connection requests from this interface
# are compared against the contents of
# /etc/shorewall/maclist. If this option
# is specified, the interface must be
# an ethernet NIC and must be up before
# Shorewall is started.
#
# tcpflags – Packets arriving on this interface are
# checked for certain illegal combinations
# of TCP flags. Packets found to have
# such a combination of flags are handled
# according to the setting of
# TCP_FLAGS_DISPOSITION after having been
# logged according to the setting of
# TCP_FLAGS_LOG_LEVEL.
#
# proxyarp –
# Sets
# /proc/sys/net/ipv4/conf/<interface>/proxy_arp.
# Do NOT use this option if you are
# employing Proxy ARP through entries in
# /etc/shorewall/proxyarp. This option is
# intended soley for use with Proxy ARP
# sub-networking as described at:
#
#
# routeback – If specified, indicates that Shorewall
# should include rules that allow
# filtering traffic arriving on this
# interface back out that same interface.
#
# arp_filter – If specified, this interface will only
# respond to ARP who-has requests for IP
# addresses configured on the interface.
# If not specified, the interface can
# respond to ARP who-has requests for
# IP addresses on any of the firewall's
# interface. The interface must be up
# when Shorewall is started.
#
# arp_ignore[=<number>]
# – If specified, this interface will
# respond to arp requests based on the
# value of <number>.
#
# 1 – reply only if the target IP address
# is local address configured on the
# incoming interface
#
# 2 – reply only if the target IP address
# is local address configured on the
# incoming interface and both with the
# sender's IP address are part from same
# subnet on this interface
#
# 3 – do not reply for local addresses
# configured with scope host, only
# resolutions for global and link
# addresses are replied
#
# 4-7 – reserved
#
# 8 – do not reply for all local
# addresses
#
# If no <number> is given then the value
# 1 is assumed
#
# WARNING — DO NOT SPECIFY arp_ignore
# FOR ANY INTERFACE INVOLVED IN PROXY ARP.
#
# nosmurfs – Filter packets for smurfs
# (packets with a broadcast
# address as the source).
#
# Smurfs will be optionally logged based
# on the setting of SMURF_LOG_LEVEL in
# shorewall.conf. After logging, the
# packets are dropped.
#
# detectnets – Automatically taylors the zone named
# in the ZONE column to include only those
# hosts routed through the interface.
#
# upnp – Incoming requests from this interface
# may be remapped via UPNP (upnpd).
#
# WARNING: DO NOT SET THE detectnets OPTION ON YOUR
# INTERNET INTERFACE.
#
# The order in which you list the options is not
# significant but the list should have no embedded white
# space.
#
# Example 1: Suppose you have eth0 connected to a DSL modem and
# eth1 connected to your local network and that your
# local subnet is 192.168.1.0/24. The interface gets
# it's IP address via DHCP from subnet
# 206.191.149.192/27. You have a DMZ with subnet
# 192.168.2.0/24 using eth2.
#
# Your entries for this setup would look like:
#
# net eth0 206.191.149.223 dhcp
# local eth1 192.168.1.255
# dmz eth2 192.168.2.255
#
# Example 2: The same configuration without specifying broadcast
# addresses is:
#
# net eth0 detect dhcp
# loc eth1 detect
# dmz eth2 detect
#
# Example 3: You have a simple dial-in system with no ethernet
# connections.
#
# net ppp0 –
#
# For additional information, see
#
#
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect routefilter,dhcp,tcpflags,logmartians,nosmurfs
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE
Attenzione:Se al posto del router abbiamo un modem cambiare eth0 con ppp0. In ogni caso cercare di adattarlo alle nostre esigenze e configurazione.
2) Configurazione del file policy:
# gedit /etc/shorewall/policy
all'interno copiamo questo:
# Shorewall version 3.0 – Sample Policy File for one-interface configuration.
#
# /etc/shorewall/policy
#
# THE ORDER OF ENTRIES IN THIS FILE IS IMPORTANT
#
# This file determines what to do with a new connection request if we
# don't get a match from the /etc/shorewall/rules file . For each
# source/destination pair, the file is processed in order until a
# match is found ("all" will match any client or server).
#
# INTRA-ZONE POLICIES ARE PRE-DEFINED
#
# For $FW and for all of the zoned defined in /etc/shorewall/zones,
# the POLICY for connections from the zone to itself is ACCEPT (with no
# logging or TCP connection rate limiting but may be overridden by an
# entry in this file. The overriding entry must be explicit (cannot use
# "all" in the SOURCE or DEST).
#
# Columns are:
#
# SOURCE Source zone. Must be the name of a zone defined
# in /etc/shorewall/zones, $FW or "all".
#
# DEST Destination zone. Must be the name of a zone defined
# in /etc/shorewall/zones, $FW or "all"
#
# POLICY Policy if no match from the rules file is found. Must
# be "ACCEPT", "DROP", "REJECT", "CONTINUE" or "NONE".
#
# ACCEPT – Accept the connection
# DROP – Ignore the connection request
# REJECT – For TCP, send RST. For all other,
# send "port unreachable" ICMP.
# QUEUE – Send the request to a user-space
# application using the QUEUE target.
# CONTINUE – Pass the connection request past
# any other rules that it might also
# match (where the source or
# destination zone in those rules is
# a superset of the SOURCE or DEST
# in this policy).
# NONE – Assume that there will never be any
# packets from this SOURCE
# to this DEST. Shorewall will not set
# up any infrastructure to handle such
# packets and you may not have any
# rules with this SOURCE and DEST in
# the /etc/shorewall/rules file. If
# such a packet _is_ received, the
# result is undefined. NONE may not be
# used if the SOURCE or DEST columns
# contain the firewall zone ($FW) or
# "all".
#
# If this column contains ACCEPT, DROP or REJECT and a
# corresponding common action is defined in
# /etc/shorewall/actions (or
# /usr/share/shorewall/actions.std) then that action
# will be invoked before the policy named in this column
# is enforced.
#
# LOG LEVEL If supplied, each connection handled under the default
# POLICY is logged at that level. If not supplied, no
# log message is generated. See syslog.conf(5) for a
# description of log levels.
#
# Beginning with Shorewall version 1.3.12, you may
# also specify ULOG (must be in upper case). This will
# log to the ULOG target and sent to a separate log
# through use of ulogd
# ).
#
# If you don't want to log but need to specify the
# following column, place "-" here.
#
# LIMIT:BURST If passed, specifies the maximum TCP connection rate
# and the size of an acceptable burst. If not specified,
# TCP connections are not limited.
#
# See for additional information.
#
###############################################################################
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
$FW net ACCEPT
net all DROP info
# The FOLLOWING POLICY MUST BE LAST
all all REJECT info
#LAST LINE — ADD YOUR ENTRIES ABOVE THIS LINE — DO NOT REMOVE
3) Creazione del file di configurazione zones:
# gedit /etc/shorewall/zones
all'interno copiamo questo:
# Shorewall version 3.0 – Sample Zones File for one-interface configuration.
#
# /etc/shorewall/zones
#
# This file determines your network zones.
#
# Columns are:
#
# ZONE Short name of the zone (5 Characters or less in length).
# The names "all" and "none" are reserved and may not be
# used as zone names.
#
# Where a zone is nested in one or more other zones,
# you may follow the (sub)zone name by ":" and a
# comma-separated list of the parent zones. The parent
# zones must have been defined in earlier records in this
# file.
#
# Example:
#
# #ZONE TYPE OPTIONS
# a ipv4
# b ipv4
# c:a,b ipv4
#
# Currently, Shorewall uses this information only to reorder the
# zone list so that parent zones appear after their subzones in
# the list. In the future, Shorewall may make more extensive use
# of that information.
#
# TYPE ipv4 – This is the standard Shorewall zone type and is the
# default if you leave this column empty or if you enter
# "-" in the column. Communication with some zone hosts
# may be encrypted. Encrypted hosts are designated using
# the 'ipsec'option in /etc/shorewall/hosts.
# ipsec – Communication with all zone hosts is encrypted
# Your kernel and iptables must include policy
# match support.
# firewall
# – Designates the firewall itself. You must have
# exactly one 'firewall' zone. No options are
# permitted with a 'firewall' zone. The name that you
# enter in the ZONE column will be stored in the shell
# variable $FW which you may use in other configuration
# files to designate the firewall zone.
#
# OPTIONS, A comma-separated list of options as follows:
# IN OPTIONS,
# OUT OPTIONS reqid=<number> where <number> is specified
# using setkey(8) using the 'unique:<number>
# option for the SPD level.
#
# spi=<number> where <number> is the SPI of
# the SA used to encrypt/decrypt packets.
#
# proto=ah|esp|ipcomp
#
# mss=<number> (sets the MSS field in TCP packets)
#
# mode=transport|tunnel
#
# tunnel-src=<address>[/<mask>] (only
# available with mode=tunnel)
#
# tunnel-dst=<address>[/<mask>] (only
# available with mode=tunnel)
#
# strict Means that packets must match all rules.
#
# next Separates rules; can only be used with
# strict..
#
# Example:
# mode=transport,reqid=44
#
# The options in the OPTIONS column are applied to both incoming
# and outgoing traffic. The IN OPTIONS are applied to incoming
# traffic (in addition to OPTIONS) and the OUT OPTIONS are
# applied to outgoing traffic.
#
# If you wish to leave a column empty but need to make an entry
# in a following column, use "-".
#
# THE ORDER OF THE ENTRIES IN THIS FILE IS IMPORTANT IF YOU HAVE NESTED OR
# OVERLAPPING ZONES DEFINED THROUGH /etc/shorewall/hosts.
#
# See
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
#LAST LINE – ADD YOUR ENTRIES ABOVE THIS ONE – DO NOT REMOVE
4) Configurazione del file rules.
# gedit /etc/shorewall/rules
all'interno copiamo questo: