Firewall Gateway · 5 min read · Oct 21, 2025
Imposta Ubuntu-Server 6.10 come Firewall/Gateway per il tuo Ambiente Aziendale - Pagina 10
Ora modifica /etc/default/mailscanner. Dovrebbe apparire così:
# Questo imposta quanti giorni i file rimarranno nell'area "quarantena" prima
# di essere rimossi automaticamente.
#
q_days=7
#
# Questo imposta quanto la priorità del demone mailscanner dovrebbe essere
# ridotta (cioè "nice -X"). Poiché è un'attività orientata ai batch,
# può facilmente cedere alcuni cicli CPU a compiti più interattivi.
#
run_nice=5
#
# Decommenta questa riga una volta che MailScanner è stato completamente configurato.
#
run_mailscanner=1Successivamente modifica /etc/courier/imapd-ssl e cambia il seguente:
TLS_CERTFILE=/etc/apache2/ssl/apache.pemOra fai lo stesso con il tuo /etc/courier/pop3d-ssl.
Successivamente fai:
shutdown -r nowe aspetta fino a quando non sarà di nuovo attivo.
Ora devi inviare a ciascun utente reale un messaggio di benvenuto, creando così le strutture Maildir nelle loro directory home necessarie per poter accedere ai loro account. Puoi utilizzare il modulo postfix di webmin per questo.
Non è necessario inviare nulla ai loro alias.
Il tuo server Webmail si trova su https://your.domain/webmail (prima invia quei messaggi!).
Munin è su http://your.domain/munin
Webmin è su https://your.domain:10000
Se non hai impostato domini, usa https://192.168.1.1/webmail ecc.
Controlla che tu possa accedere al tuo webmail e inviare e ricevere effettivamente email all’interno della tua rete locale.
Se sei soddisfatto, apri la porta 25 sul tuo firewall per il traffico tcp in entrata (postfix) e la porta 6277 (dcc) per il traffico udp in entrata.
Potresti voler rendere il tuo server webmail disponibile ai tuoi utenti dal mondo esterno.
Apri anche la porta 443 (apache ssl) per il traffico tcp in entrata. Aprire la porta 993 è anche una buona idea per le connessioni tcp, poiché facilita imaps.
Il mio /etc/shorewall/rules ora appare così: (giusto per cominciare, tutte le impostazioni del firewall mostrate in questo articolo sono solo destinate a farti partire e funzionare, potresti voler regolare queste impostazioni una volta che hai finito!)
#############################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
# PORT PORT(S) DEST LIMIT GROUP
#
# Accetta connessioni DNS dal firewall alla rete
#
ACCEPT net $FW tcp 25
ACCEPT net $FW tcp 443
ACCEPT net $FW udp 6277
DNS/ACCEPT $FW net
#
# Accetta connessioni SSH dalla rete locale per l'amministrazione
#
SSH/ACCEPT loc $FW
#
# Consenti Ping dalla rete locale
#
Ping/ACCEPT loc $FW
#
# Rifiuta Ping dalla zona di rete "cattiva".. e impedisci che il tuo log venga inondato..
#
Ping/REJECT net $FW
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
#
#ULTIMA RIGA -- AGGIUNGI LE TUE ENTRATE PRIMA DI QUESTA -- NON RIMUOVERERiavvia il firewall:
/etc/init.d/shorewall restartSuccessivamente fai:
/var/dcc/libexec/updatedccOra configuriamo il tuo server VPN.
Modifica /etc/pptpd.conf. Dovrebbe apparire così ora:
###############################################################################
# $Id: pptpd.conf 4255 2004-10-03 18:44:00Z rene $
#
# File di configurazione di esempio Poptop /etc/pptpd.conf
#
# Le modifiche sono efficaci quando pptpd viene riavviato.
###############################################################################
# TAG: ppp
# Percorso al programma pppd, predefinito '/usr/sbin/pppd' su Linux
#
#ppp /usr/sbin/pppd
# TAG: option
# Specifica la posizione del file delle opzioni PPP.
# Per impostazione predefinita PPP cerca in '/etc/ppp/options'
#
option /etc/ppp/options.pptpd
# TAG: debug
# Attiva (ulteriore) debug su syslog
#
#debug
# TAG: stimeout
# Specifica il timeout (in secondi) all'avvio della connessione ctrl
#
# stimeout 10
# TAG: noipparam
# Sopprime il passaggio dell'indirizzo IP del client a PPP, che è
# fatto per impostazione predefinita.
#
#noipparam
# TAG: logwtmp
# Usa wtmp(5) per registrare le connessioni e disconnessioni dei client.
#
# logwtmp ## commenta questa riga!! pacchetto deb rotto!!
# TAG: bcrelay
# Attiva il relay broadcast ai client dall'interfaccia
#
#bcrelay eth1
# TAG: localip
# TAG: remoteip
# Specifica gli intervalli di indirizzi IP locali e remoti.
#
# Qualsiasi indirizzo funziona purché la macchina locale si occupi del
# routing. Ma se vuoi utilizzare il networking MS-Windows, dovresti
# usare indirizzi IP al di fuori dello spazio degli indirizzi LAN e usare l'opzione proxyarp
# nel file delle opzioni pppd, o eseguire bcrelay.
#
# Puoi specificare indirizzi IP singoli separati da virgole o puoi
# specificare intervalli, o entrambi. Ad esempio:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# RESTRIZIONI IMPORTANTI:
#
# 1. Non sono consentiti spazi tra le virgole o all'interno degli indirizzi.
#
# 2. Se fornisci più indirizzi IP di MAX_CONNECTIONS, inizierà
# dall'inizio dell'elenco e andrà fino a ottenere
# MAX_CONNECTIONS IP. Gli altri saranno ignorati.
#
# 3. Niente scorciatoie negli intervalli! cioè. 234-8 non significa 234 a 238,
# devi digitare 234-238 se intendi questo.
#
# 4. Se fornisci un singolo localIP, va bene - tutti gli IP locali saranno
# impostati su quello dato. Devi comunque fornire almeno un remoto
# IP per ogni client simultaneo.
#
# (Consigliato)
localip 192.168.1.1
remoteip 192.168.1.90-99
# oppure
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
speed 115200Successivamente modifica /etc/ppp/options. Dovrebbe apparire così:
lockOra fai:
touch /etc/ppp/options.pptpdOra modifica /etc/ppp/options.pptpd. Dovrebbe apparire così:
lock
ms-dns 192.168.1.1
ms-wins 192.168.1.1
domain your.domain.here
debug
name pptp-vpn
auth
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
chapms-strip-domain
lcp-echo-failure 10
lcp-echo-interval 30
nobsdcompSuccessivamente, modifica /etc/ppp/chap-secrets. Dovrebbe apparire così:
# Segreti per l'autenticazione utilizzando CHAP
# client server secret IP addresses
user pptp-vpn abcdefg "*"Ora fai:
/etc/init.d/pptpd restartOra dovresti essere in grado di impostare una connessione vpn dall’interno del tuo firewall come “user” con la password “abcdefg” (senza virgolette) Cambia questo nome utente e password iniziali e aggiungi alcuni utenti, se vuoi. Potresti dover riavviare alcune macchine per farlo funzionare.
Ora apri il tuo firewall per le connessioni vpn. Per fare ciò, imposta il tuo /etc/shorewall/rules come mostrato.
Il mio /etc/shorewall/rules in questo momento:
#############################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
# PORT PORT(S) DEST LIMIT GROUP
#
# Accetta connessioni DNS dal firewall alla rete
#
ACCEPT net $FW tcp 25
ACCEPT net $FW tcp 443
ACCEPT net $FW tcp 993
ACCEPT net $FW udp 6277
DNAT net loc:192.168.1.1 tcp 1723
DNAT net loc:192.168.1.1 47
DNS/ACCEPT $FW net
#
# Accetta connessioni SSH dalla rete locale per l'amministrazione
#
SSH/ACCEPT loc $FW
#
# Consenti Ping dalla rete locale
#
Ping/ACCEPT loc $FW
#
# Rifiuta Ping dalla zona di rete "cattiva".. e impedisci che il tuo log venga inondato..
#Per completare questo passaggio, fai:
/etc/init.d/shorewall restartQuindi ora i tuoi clienti saranno in grado di fare il loro lavoro anche da casa.
Nota che questo ha senso solo quando il tuo server ha una connessione a banda larga affidabile a Internet, che nei Paesi Bassi è lo standard de facto, anche per uffici molto piccoli e la maggior parte degli indirizzi domestici. In questo senso siamo molto avanti rispetto al resto del mondo.
Ricevi i nuovi post nella tua casella di posta.
Nessuno spam. Disiscriviti in qualsiasi momento.