; TeX output 2003.11.26:1328_2 ~?ՁZݺIqqecss2074FirewwmallfPiercingmini-HOWTO cG 1 ecrm1000F*ranois-RenU Rideau,qL ectt1000fare@tunes.org3v0.3b,27novembreU 1998&6 ecss1000Direttive:pGerl'utilizzodelprotocollopppusandotelnetperoperareinmodotrasparenteattraversounrewallInternet.qT*raduzioneU acuradi8 ecsi1000StefanodiSandro b> cmmi10,ultimarevisione24Gennaio2000.(&Lt$ffffecbx1440Indice]f ecbx10001V arie}2ؼ1.1%LIBERA*TORIAnk.荍..........................................w21.2%Copyright탍.荍..............................................w21.3%RingraziamentiX.荍...........................................w22In>troQduzione22.1%Premessa.荍..............................................w22.2%ProblemiU disicurezzaK.荍........................................w22.3%AltriU requisiti.荍............................................w32.4%ScaricareU ilsoftware.荍........................................w33Capireilproblemab43.1%DareU unnomeallecoseh.荍.......................................w43.2%IlU problema +.荍.............................................w43.3%DicoltU aggiuntiveR.荍........................................w44Lasoluzione54.1%IlU principioB덍.荍.............................................w54.2%fwprc [.荍.................................................w54.3%.fwprcrctO.荍...............................................w55Piercingalcon>trarioY65.1%Giusticazioni).荍............................................w65.2%RicevereU ilmessaggiodiinnesco.荍..................................w66NoteFinali%66.1%AltreU impGostazioniD+.荍.........................................w66.2%ManutenzioneU dell'HOWTOLߍ.荍....................................w76.3%CopiaU extradellaIMPOR*TANTEU LIBERATORIACREDETEMI!!!ߍ.荍............w7*_2 ~?G1.8V arieY2ՁV1V(arie荍!N ecbx12001.1LIBERATORIAMLEGGIQUEST ASEZIONE:ȓIMPORTANTE!!!ؼQui@diseguitodeclinotuttelerespQonsabilitperquesteinformazioni.RQualunquesiailmodo incuiilloroutilizzopQossaritorcersicon>trodivoi, noncolpamia.cSenonsieteingradodicomprendereirisc>hicuiviaccingeteasottopQorvifacendocichequiscritto,Nnonfatelo.SeuseretequesteinformazioniecipQermetterabalorditeppistidipenetrareledifesedeicomputerdellav>ostraaziendacompromettendovoi,ilvostroimpiegoeimiliardidellavostraazienda,bQehsonoproblemiv>ostri. Nonveniteapiangeredame.#Í1.2CopyrightCopyrightacU !", cmsy10 A1998U byF*ranois-RenRideau.ؼThisdoGcumentisfreesoftware;youcanredistributeitand/ormoGdifyitunderthetermsoftheGNUGeneralPublicLicenseaspublishedbytheF*reeSoftwareF*oundation;N eitherversion2oftheLicense,$or(atyouroption)U anylaterversion.Questo]doGcumentodaconsiderarsisoftwarelibGero;nepossibilelaredistribuzionee/olamodicaneiterminidellaGNUGeneralPublicLicensecoscomepubblicatadallaF*reeSoftwareFoundation, /sianellaversioneU 2che(avostrascelta)inunaqualunqueversionesuccessivqa.#Í1.3RingraziamentiMSebbGeneabbiariscrittoquasituttotrannelaliberatoria,=troQduzione~3ՁVl'eventualevpGossibilitdiutilizzaretelnetversol'esterno(cheunrequisitoanchquantociaccingiamoa spiegare9funzioni)signicachevistatoconcessodiconnetterviconsistemiremotie,?9sepGoteteeettuareilloginU sualcunidiquestisistemi,signicachequalcunovel'haasuavoltapGermesso.ؼQuindiujl'utilizzodeivqarchilegaliinunrewalldiventaestremamenteHЃ ecti1000c}/onveniente5pGerpermettereaqualunqueprogramma&^remotodicomunicareconlanostramacchinautilizzandoinormaliprotoGcolli.aNelcasooppostoavremmobisognodiprogrammispGecialiomodicati(ericompilati)facentiusodiproxydaicompitipar-ticolari,2ledcuicongurazionipGossonoessereoperadiamministratorisprovvedutidoincompetenti.LOppurepGotremmo2doverinstallareuncertonumerodiconvertitoripGerpoteraccedereaciascunodeinormaliservizi(comeU lapGostaelettronica)attraversoU lestradeconsentitedalrewall(comeilweb).Inoltreal'usodiunemulatoreIPacheopGerialivelloutentecomeSLiRP*,puessereancheutilepGerprevenireattacchidall'esternoingradodipGerforareilrewallnuovqamenteinsensoinverso,amenochenonsiatevoiaMpGermetterloesplicitamente(oppurechel'attaccosiacondottoinmoGdoabileeastutoochel'intrusoabbiaacquisitoU iprivilegidiroGoto,inne,chesiaingradodispiarvisull'hostremoto).SiaGcomesia,ilmetoGdoquipresentedovrebbGeesserer}/elativamentesicuro.T*uttodipendedalleparticolaricircostanzewnellequalivitroveretewquandolomettereteall'opGeraeiononpossodarvialcunagaranzia.RMoltisono{gliaspGettiintrinsecamente{insicuriinunaqualunqueconnessioneinternetenondipendonoesclusivqa-mentexdall'usodiquestometoGdo;WnonassumeteaprioridiesserealsicuroamenochenonneabbiatedellevqalideU ragioniecercatedicriptaresemprel'informazione.Perconcludere:nonusatequestometoGdologiasenonsapetecosastatefacendo.]ȑmegliocherileggiatelalibGeratoria.#Í2.3AltrirequisitiMSit#dpGerscontatochesappiatecosastatefacendo;chesappiateimpGostareunaconnessionedirete;chepGossediateqMunaccountdishellsuentrambiilatidelrewall;cchepGossiateusaretelnet(ossh,xXoequivqalenti)daCunaccountall'altro;+chepGossiatefargirareunemulatoreIPCsuentrambiilatidellaconnessione;+chepGossediateprogrammiingradodilavoraresuun'emulazioneIP*.Sinoticomequalunqueprogrammapossausarelaconnnessione,ninquestocasoilpppGdl'emulatorelocalechecolloquiaconilkerneldiLinux;altriemulatori,U comeT*erm,necessitanodiesserericompilatiecollegatiaspGecialilibrerie.ParlandoİdiemulatoriIP*,ildemonepppGdsitrovqainqualunquebuonadistribuzionediLinuxositoftp;xelo7stessovqalepGerSLiRP*.Sel'accountsullashellremotaviconsentedieseguireprogrammisoltantoalivelloutente,U SliRPlasoluzionedaadottarepGerlaconnessione.#Í2.4ScaricareilsoftwareMLakmaggiorpartedelsoftwarekdescrittosardispGonibilenellavostradistribuzioneoenventualmentetraikcontrib;AtrannegliultimiduetuttisipGossonotrovqarecomepacchettirpm.IbNelcasovogliaterecupGerarel'ultimaversionedeisorgentiodeglieseguibili(dopGotuttonondettochesuentrambiilatidellaconnessionesiU troviunsistemaLinux)utilizzategliindirizzielencatidiseguito:ؼSLiRPU sitrovqaahttp://blitzen.canberra.edu.au/slirpU oppureftp://www.ibc.wustl.edu/pub/slirp_bin/U .zshU latrovqatepressohttp://www.peak.org/zsh/U .1_2 ~?G3.8Capireilproblema`sG4ՁVpppU scaricabiledaftp://cs.anu.edu.au/pub/software/ppp/U .fwprcU ecottysonoinveceU ahttp://www.tunes.org/~fare/files/fwprc/U .(3CapireG\ilproblema:CapireU unproblemalaprimametdelpGercorsocheportaallasuasoluzione.#Í3.1DareunnomeallecoseMSe=voletechequestomedotofunzioni,Dobbligatoriocheabbiateun'ideadicomefunziona,Dcos, nell'eventualitU chequalcosavqadastorto,sapretedoveandareametterelemani.ؼD'orainavqantiavrannoaggettivoloGcalesialamacchinacheinizialaconnessione,siaiprogrammieilecheU sitrovqanoinessa;dunque,tuttoquellochesitrovqadall'altrapartesarremoto.3.2IlproblemaMIlnostronecollegarel'ingressoel'uscitadiunemulatoreIPloGcalerispettivqamenteall'uscitaeall'ingressodiunemulatoreIPXremoto.Icanalidicomunicazioneconiqualigliemulatoriinteragisconosonodevicediretti+(comenelcasousualedelpppGd)oilttycorrente.cvQuestoovviamentenonsivericaconunasessionetelnet.(Inquest'ultimocasolasituazionecomplicatapGerch,Cquandolanciatel'emulatoreloGcaledarigacomando,Nilttycorrentecollegatoall'utentenonaunasessioneremota.N)Inoltrequandoapriamounanuovqasessione,C%sia>essaloGcaleoremota,suunnuovo>terminale,dobbiamosincronizzarel'avvioelaconnessionedientrambigliemulatoriIPaltrimentilaspazzaturaproGdottainuscitadaunadelleduesessionirappresenterunU comandopGerl'altrasessioneconilrisultatodiprodurrealtraspazzatura.3.3DicoltaggiuntiveMPerBottenenerelamassimafacilitd'uso,FVl'emulatoreIPBloGcaledevefornireunIPBalkernelpGerleoperazionidirete,^pGertaleragionesiusailpppd.BComunque,^ilpppdlimitatoabbastanzadaaccettaredatiattraversouna:solavoGceall'internodelladirectory/devoattraversoilterminalecorrente(tty);unacoppiadipipGesarebbGestatamoltopinaturale.T*uttofunzionacorrettamenteperquantoriguardailpppdremoto,vistochefquest'ultimopuusareilttydellasessionetelnet;omapGerilpppdlocaleunproblemaperchnoningradodilanciarelasessionetelnetpGereettuarelaconnessioneequindidovremoprovvedereadaggiungergliattornoU unostratodisoftware.ؼT*elnetsicompGortaquasi corretamenteconunacoppiadipipe,MsolochesiostinersempreaeettuareilcontrollocGdiI/OcC(ioGctl)sulttycorrente,fconilqualeinteragisce;jZusaretelnetsenzaunttycausainoltredicorsecritichechefarannofallirelaconnessionesumacchinelente(fwrpGc0.1funzionaperfettamentesuunP/MMXU 233,unavoltasuseisuun6x86-P200+emaisuun486DX2/66).[Nota:{seZLtrovoquelbischero(probabilmentequalcunodelMUL*TICS,sebbGenedebbaessercistatagenteUNIXN#stupidaN%abbastanzadacopiarel'idea)chehainventatoilprincipiodeidispGositivittyinbasealqualesileggeesiscrivedallostessopseudo-le,EinvecedipGoterdisporrediunapulitacoppiadipipe,Elostrangolo!]B_2 ~?G4.8Lasoluzione95ՁV4LaG\soluzione荍4.1IlprincipioMIlprogrammapGerilrewall-piercing,fwprc,farusodiunproxytty,cotty,cheapreduedispGositivipseudo- tty*,hinvoGcaYalcunicomandisuciascunodiquestislaveYe,senzapismettere,copiaognicaratterechevienebattuto,nel/ttycheservedaingressopGerl'altrocomando.3Uncomandosarlaconnessionetelnetalsitoremotobel'altrosarilloGcaledemonepppd.pIlpppdpuquindiaprireecontrollarelasessionetelnetconilpiU classicodegliscriptdichat.#Í4.2fwprcHobrealizzatounscriptauto-doGcumentatoperforareirewall,efwprc,disponibilebalmiosito"http://www.tunes.org/~fare/files/fwprc/cǹ,gqinsiemeacotty(chenecessarionelleversionifwprc0.2esuccessive).AlU momentodiscriverequesteparole,leversionipirecentisonofwprc0.3aecotty0.3a.ؼIlnomefwprcvolutamenteilleggibileeimpronunciabile,alnediconfondereilparanoicoamministratoredisistemadcheprobabilmentelacausadelrewallchevirompGelescatole(naturalmente,KpGossonoesistereancherewalloppGortuni,etalvoltaindispGensabili;&lasicurezzatuttaunaquestionedic}/orrettaQcongurazione).SeU dovetepronunciarequestaparolaadaltavoGce,fateinmododidirlanelpeggiormodopossibile.SFIDA! SFIDA!Mandatemiunleaudioinformato.auconlaregistrazionedigitaledellavostrapronunciadifwprc.LapGeggiorevincerunaggiornamentogratuitoeilsuonomenellapaginadellaversione1.0difwprc.HoWvericatoilprogrammaconsvqariateimpGostazionicongurandoloattraversodeiledirisorse.yManatu-ralmente,?'pGer9laleggediMurphy*,?'avoinonfunzioner.hXRitenetevilibGeridicontribuireaimiglioramentichepGotrannoU renderelavitapifacileallepersonechefarannolecosedopodivoi.#Í4.3.fwprcrcMfwprc dpuesserepGersonalizatoattraverso dille.fwprcrcchedeveesseredispGonibilesuentrambiilatidellaconnessione.V=ȑBancheVpGossibilepredisporrecongurazionidiversedausarealternativqamente(pGeresempio,ioloU faccio),edlasciatocomeesercizioallettore.Per)cominciare,^copiatelasezioneappropriatadifwprc(lapGenultima)nelle.fwprcrcall'internodellavostrahomedirectory*.Poirimpiazzateivqaloridellevariabiliconquelliadattiallavostracongurazione.InneU copiateiltuttoanchesull'altrohosteprovqate.IlmetoGdodibaseprevedediusareilpppdlocalmenteeslirpsullamacchinaremota.=PermoGdicarlopotresteridenireU laappropriatafunzioneall'internodelvostro.fwprcrcconunalineadeltipGo:ؼqL ectt0900remote_IP_emuN() cmsy9fremote_pppdgRicordatecheSLiRPpisicurodipppGd,?edpifacileaccedervi,dalmomentochenonrichiedeprivilegidi roGot 5sull'hostremoto._Un'altracaratteristicadisicurezzaconsistenelfattochescartertuttiipacchettichenonFprovengonodirettamentedallamacchinaaessoconnessa(talecaratteristicadiventaundifettosetentatedi sfruttarequestometoGdoperrealizzareilroutingdiunasottoreteusandoilmascheramento dell'IP).LefunzionalitdibasediSLiRPsonopiuttostoadabilianchesel'hotrovqatoprivodelleaggiuntepromesse(qualilacontrollabilitatempGodiesecuzione),qma,dalmomentocheunsoftwarelibGero,qsieteanchevoilibGeri+dimetterelemaninelcodicesorgenteinmododaimplementaretuttelefunzionalitdicuipossiateavereU bisogno.Q_2 ~?G5.8Piercingalcon>trarioWd6ՁV5PiercingG\alconctrario荍5.1GiusticazioniMT*alvolta,MsolodaunlatodelrewallpGossibilelanciareunasessionetelnet;Gcinonostantealcuneforme dicomunicazionerestanopGossibili(tipicamanteusandolapGostaelettronica)."F*orareilrewallancorapGossibile,7escogitando01unqualunquemododiinnescareunaconnessionetelnetdallapartegiustadelrewallversoU l'altra.ؼfwprcչincludeilcoGdiceperscatenaretaliconnessioniapartiredaunmessaggiodipostaelettronicaautenti-cato conPGP;tuttocidicuiabbisognateaggiungerefwprccomeltropGerprocmail(1)aimessaggichefannoausoditaleprotoGcollo,(leistruzionisonoincluseinfwprc).YBNotatecomunquechepGerlanciarepppdcon\iprivilegiappropriatidovretecrearedasoliunsuidwrappGerperdiventare\root..4Istruzioniincluseinfwprc.LahsolaautenticazionediquestasortadiscintillanonsignicaaverpredispGostounaconnessionesicura.DiventadavverooppGortuno,$inquestocaso,fareusodiunaSecureShell(anchesopratelnet)pGerrenderesicuro{ ilcollegamento.:Ezinneosservqateattentamentecicheaccadetral'innescodellaconnessionetelneteU lasshchehaluogosutaleconnessione.qQualunquecontributoinquestadirezionebGenaccetto.#Í5.2RicevereilmessaggiodiinnescoMSeunrewallvicirconda,NilvostromessaggiopGotrebbetrovqarsiinunservercentralechenonconsenteiltraggioconproGcmailoalcunaconnessionetelnet.wNientepaura!Poteteusarefetchmail(1)daeseguireinmoGdalitdemoneperrecuperareetrasferirelapostaalvostrosistemalinuxcheopGeradaclien,e/oaggiungereueunjobalserviziocronpGerautomatizzareilrecuperodellapostaogni1-5minuti.NF*etchmailinoltrerGlapGostaversol'indirizzolocaleusandosendmail(8)che,Qasuavolta,QdeveessereconguratopGerusare*procmail(1)pGerilrecapito.cNSeeseguitefetchmail(1)inbackgroundcomedemone,3 questiimpedirqualunquealtraesecuzionedifetchmail: comenelcasodell'apGerturadiunfwprc.5NaturalmentepGotrestefargirarefetchmailcomefalsoutente.WRecupGeritroppofrequentipossonononessereopportunineiconfrontidelserver,coscomerecupGeritropposporadicipossonoobbligareapesantiatteseanchilmessaggiovengalettoU elaconnessioneinversaU stabilita.qIousounafrequenzadirecupGerodidueminuti.(6NoteG\Finali荍6.1Altreimp_ostazioniCi=sonoaltritipidirewall,xcomequellichenonconsentonoleconnessionitelnet.+DalmomentocheuncontinuoussodipacchettiattraversaunrewalletraspGortainformazionifuoriedentrodiesso,ÀsemprepGossibileU perforarlo;alsoloprezzodiusareilpunteruolopiinaltoopiinbasso.ؼInuncasoestremamentesemplice,?pGotrestesemplicementelanciaresshsuunpty*,?elavorareconilpppdnel9ttyslave.cotty0.3adovrebbGeessereingradodifarlo,smaancoranessunohamodicatofwprcpereettuare.Eillogin.dPotrebbGeessereunbuonesercizioperstanotte.dPotrestevolerapplicarequantovistoconunqnrewallostile,solopGercostrureunaVPNF|sicura(VirtualPrivqateNetwork).%LeggeteVPNq4mini-HOWTOaU propGositodiquesto.Sev\dovetepassareattraversounalineaa7-bit,~probabilmenteusereteSLIPvSalpGostodiPPP*.Iononhomaiprovqato:qleU lineesonoquasitutte8bitalgiornod'oggi,manondovrebbGeesserecomplicato.Ora,Ϝsel'unicastradaattraversoilrewallunproxyWWW(disolitoilminimopGerunareteconnessaawinternet)pGotrestescrivereundemonecheregistrailtracodidatiiningressoeinuscita,Mefarlogirareb0_2 ~?G6.8NoteFinali¹7ՁVduranteQleconnessioneHTTP*,ottenendounasortaditelnet-su-HTTP;conilqualeeseguirefwrpGc.T;Potrebbe rivelarsiunasoluzionelentaenonmoltoecacemasucientedapGermettervidiusarefetchmail(1),suck(1)U ealtriprogramminoninterattivi.ؼSejvoleteprestazionimaggiorioseleunichecosechepassanoinalterateattraversoilrewallsonocosuccedibasso$livello(richiesteDNS,pacchettiICMP*,ecc.)@allorailgioGcosifadurodalmomentochedovretemettereleNVmanisulprimitivostackIPNTusando(pGeresempio)iF*oxpro0ject'spacket-protoGcolfunctors.o=OtterreteunaformadirettadiIP-su-HTTP*,IP-su-DNS,IP-su-ICMP,oani.;QuestiultiminonrichiedonosoltantouncomplessoprotoGcollo,maancheun'interfacciaalnucleodelsistemaopGerativoedentrambisonocostosidaimplementare.AncoraBunacosa, seusateundemoneHTTP*pGerilFirewall-piercing,nondimenticatedifareinmoGdocheservqaU paginefasulle,inquestomoGdoingannereteisospettosiamministratorideirewallavversari.#Í6.2Manutenzionedell'HOWTOMHosentitoilbisognodiscriverlo,%HmanonhotuttoiltempGodadedicargli,eccopGerchquestoHOWTO|莡cosscarno.=8Ecosrester,amenochenonricevqaabbastanzacommentichemipGermettanodiindividuarelesezionichedevonoesseremigliorate.wIcommentisonobGenvenuti.wL'aiutobGenvenuto.wIlmantenimentodelU mini-HOWTObGenvenuto.A[ognimoGdo,lesezionicheavetelettohannomessoinevidenzadiversiproblemilesoluzionideiqualirichiedonoHsolochequalcuno(voi?)RvidedichiunpGo'ditempo(oppuredenaro, pagandoaltrichelofaccianoinsuavece),sedendosiescrivendole: nulladidavverocomplicato,sebbGeneidettaglipossanoapparirepesantieU dicili.NonwesitateacontribuireconaltriproblemiepGossibilmenteconaltrettantesoluzioni, aquestomini-HOWTO.#Í6.3CopiaextradellaIMPORTANTELIBERATORIACREDETEMI!!!#'Di@seguitodeclinoognirespQonsabilitperquestametodologia.Ilfattoc>hepossaritorcersicon>trodivoiinunqualunquemoQdounproblemachenonmiriguarda.пSenonqriusciteacomprendereirisc>hiinerentiilsuoutilizzo,nonutilizzatelo.Se,usandoquesta metoQdologia,Cpermettereteabalordiv\|andalidipenetrareneicomputerdellav>ostraVaziendacompromettendovoi,!ilvostrolavoroeimiliardidellastessa,!nonv>eniteapiangeredame.s;_2G cmsy9qL ectt0900HЃ ecti1000!N ecbx1200]f ecbx1000&Lt$ffffecbx14408 ecsi10006 ecss1000Iqqecss2074qL ectt1000 1 ecrm1000 !", cmsy10 b> cmmi10`