Turtle Firewall considera, oltre alle zone definite da noi, un'ulteriore zona predefinita chiamata FIREWALL che identifica la nostra linux-box dove abbiamo installato il firewall. Tutti i pacchetti che non sono in transito sul firewall ma che invece partono da, o sono destinati al firewall stesso, implicano l'uso della zona FIREWALL. FIREWALL non è un host perchè il firewall non ha un solo ip (ne ha uno per ogni interfaccia) ed è quindi più opportuno considerarlo una zona a se stante.
E' estremamente importante definire regole per la protezione del firewall. Il buon senso ci dovrebbe spingere a rendere completamente isolato il firewall negando l'accesso alla zona FIREWALL a chiunque. Spesso però vogliamo poter lavorare sulla configurazione del firewall comodamente seduti alla nostra postazione ( la pigrizia è la causa più frequente di compromissione di un sistema di sicurezza ;-) ) e allora consiglio di rendere disponibile il minor numero possibile di servizi al minor numero possibile di host, il solo servizio ssh al solo host dell'amministratore di rete è un buon compromesso.
Turtle Firewall non permette di definire 2 elementi con lo stesso nome, anche se di tipo diverso. Non ci può essere, ad esempio, un host che ha lo stesso nome di una zona. Per lo stesso motivo non è possibile definire un elemento che si chiami "FIREWALL". |