Zeroshell: router, firewall, content filter a portata di click

Zeroshell è una distribuzione linux tutta italiana, curata da Fulvio Ricciardi, che permette di metter su un router - firewall, con una infinità di servizi di rete, in pochissimo tempo e senza dover essere un mago.

La lista delle funzionalità offerte è sterminata; ne riporto alcune (elenco completo sul sito):

• Bilanciamento e Failover di connessioni multiple a Internet;
• Captive Portal per il supporto del web login su reti wireless e wired. Zeroshell agisce da gateway per la rete su cui è attivo il Captive Portal e su cui gli indirizzi IP (di solito appartenenti a classi private) vengono forniti dinamicamente dal DHCP. Un client che accede a questa network privata deve autenticarsi mediante un web browser con username e password Kerberos 5 prima che il firewall di Zeroshell gli permetta di accedere alla LAN pubblica. I gateway Captive Portal sono utilizzati spesso per fornire accesso a Internet negli HotSpot in alternativa all'autenticazione 802.1X troppo complicata da configurare per gli utenti. Zeroshell implementa la funzionalità di Captive Portal in maniera nativa, senza utilizzare altro software specifico come NoCat o Chillispot;
• Gestione del QoS (Quality of Service) e traffic shaping per il controllo del traffico su reti congestionate. Si possono imporre vincoli sulla banda minima garantita, sulla banda massima e sulla priorità di un pacchetto (utile nelle connessioni realtime come le VoIP). Tali vincoli potranno essere applicati sulle interfacce Ethernet, sulle VPN, sui point to point PPPoE, sui bridge e sui bonding (aggregati) di VPN. La classificazione del traffico può avvenire anche mediante i filtri Layer 7 che permettono il Deep Packet Inspection (DPI) e quindi di regolare la banda e la priorità da assegnare ai flussi di applicazioni come VoIP e P2P;
• HTTP Proxy con antivirus open source ClamAV in grado di bloccare in maniera centralizzata le pagine web contenenti Virus. Il proxy, realizzato con HAVP, potrà funziona in modalità transparent proxy, intendendo con ciò, che non è necessario configurare i web browser degli utenti per utilizzare il server proxy, ma, le richieste http verranno automaticamente reindirizzate a quest'ultimo. È ovvio, che in questo caso, la macchina che fa da proxy deve essere anche un gateway (router IP o bridge);
• VPN host-to-lan con protocollo L2TP/IPsec in cui L2TP (Layer 2 Tunneling Protocol) autenticato con username e password Kerberos v5 viene incapsulato all'interno di IPsec autenticato mediante IKE con certificati X.509;
• VPN lan-to-lan con incapsulamento delle trame Ethernet in tunnel SSL/TLS, con supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);
• Router con route statiche e dinamiche (RIPv2 con autenticazione MD5 o plain text e algoritmi Split Horizon e Poisoned Reverse);
• Bridge 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;
• Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia in routing sia in bridging su tutti i tipi di interfaccia di rete comprese le VPN e le VLAN;
• Controllo mediante Firewall e Classificatore QoS del traffico di tipo File sharing P2P.

La distribuzione è installabile anche su dispositivi embedded tipo gli APU2, cosa che la rende appetibile anche per realizzare un firewall domestico con funzionalità di Parental Control sofisticate e con alto grado di sicurezza.

Ma la grande forza di questa distribuzione è senza dubbio l'interfaccia web che permette di configurare i servizi senza dover impazzire; lo apprezza ancor di più chi ha provato a far collaborare servizi diversi, lottando a mani nude contro file di configurazione sparpagliati e versioni di software non compatibili.

Grande Zeroshell e grande Fulvio Ricciardi!