(R)e: [PLUTO-security] Firewall o routing ?

Rex Sanna 77512746 a tiscali.it
Gio 9 Ott 2003 15:25:18 CEST 

De : [PLUTO-security] Firewall o routing ? [Beppe]

# Ciao Dido, ciao ReX...
# grazie per la risposta.

IL MIO NOME SI SCRIVE : " (R)ex "
Beppe, non fartelo dire piu'.. ;o)


# Ma infatti NAT lo tenuto come soluzione tampone fin tanto che non risolvo
# questa magagna; purtroppo i server devono continuare a funzionare e quando
# non ho la possibilità di provare riabilito il NAT.
#
# Quando pero' eseguo questo genere di prove (connesioni dirette al IP pubblico) 
# lo disabilito completamente.
Questo implica che se dai come comando :

(R)ex [zero][root] > iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination




(R)ex [zero][root] > iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination




Giusto?

Partiamo da questa base..

# Le mani sul router non le ho messe io arghhh :)
Questo poco conta..

# INTERNET(IPpubblico)<---ROUTER(10.0.1.254) <---- (10.0.1.1)FIREWALL

ARRRRGGHHH!!!!
Che ci fa un router DENTRO la tua zona??

Non hai parlato di WAN.
Questo complica notevolmente quello che stai descrivendo..
[A meno che con "INTERNET(IPpubblico)" tu intenda altro..]

Perfetto. Facciamo esempio banale per tutte le persone all'ascolto..

Un router fornisce UN BUCO D'INGRESSO ad una rete.
[Il fatto che questo prenda il nome di GATEWAY = 'porta d'accesso' non vi suggerisce nulla??]

Un poco come un modem. 

Gli altri dispositivi che sembrano "ciabatte di rete" sono di due tipi:
- HUB
- SWITCH

Il primo e' banale, il secondo [OPPORTUNAMENTE CONFIGURATO] e' in grado di criptare sessioni,
indirizzare pacchetti in maniera protetta e riservata, etc.. [Manuale switch per eventuali chiarimenti]
Di conseguenza la didattica insegna :

ROUTER [1.1.1.x] -->  MACCHINA GATEWAY/FIREWALL[1.1.1.y] --> HUB/SWITCH --> CLIENTS [1.1.1.Z/netmask]

Per un qualcosa di sicuro [e qui' Dido..] conviene avere DUE schede di rete sulla macchina gateway/firewall
in maniera tale da dividere il traffico e le reti.
La macchina GATEWAY/FIREWALL la chiamo : ZERO

ZERO e' gateway e firewall per tutta la sua sottozona che immagino attaccata a ETH1.
ZERO parla con il router [telecom/tiscali/libero/quello che ti pare] tramite la prima scheda di rete [eth0].

L'indirizzo IP PUBBLICO PERTANTO STA SULLA SCHEDA ETH0!!
L'indirizzo IP PRIVATO STA SULLA SCHEDA ETH1!!!
[E da qui non ci si muove..]


Immaginando di avere :
PUBBLICO 123.123.123.123
PRIVATO 192.168.0.1

(R)ex [zero][root] > ifconfig
eth0      Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:123.123.123.123  Bcast:QUELLO FORNITO DAL PROVIDER  Mask:QUELLA FORNITA DAL PROVIDER

eth1      Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0

[Per chi non ha basi di reti : LEGGERE "TCP/IP ILLUSTRATED" o similari.
Da notare che ho scrotto LEGGERE, non SFOGLIARE!!!!]

Bene, adesso che siamo qui, non ci resta che andare su un client, e pingare zero:

(R)ex [client][root] > ping zero
PING zero (192.168.0.1) 56(84) bytes of data.
64 bytes from zero (192.168.0.1): icmp_seq=1 ttl=64 time=0.233 ms
[etc.. etc..]

NB: Client e ZERO hanno lo stesso broadcast e la stessa maschera di rete.
NB: Il client [per chi ha poco intuito] ha come gateway ZERO e non 123.123.123.123

Se voglio fare il figo e vedere che anche l'altra scheda funziona, potrei pingare anche : 123.123.123.123,
ma NON RISPONDERA' perche' fintanto che non uso IPTABLES/IPCHAINS per consentire il forward,
mi attacco.. [nel senso di "mi aggangio, succhio" e non nel senso di "attaccare,colpire,devastare"]


Ora che hai messo su questo, con poche regole di firewalling [e per queste ti indirizzo alla traduzione
fatta dal sottoscritto e - forse - disponibile sul pluto da qualche parte [chiedere a Fabio] ]
e' possibile condividere la connessione ad internet etc..

Quando siete a questo punto, allora scrivere ancora su questa ML.
Costo consulenza 75Euro + un caffe' e un posacenere dove 'schisinare'..


-- 
# ######################## Manuel (R)ex Sanna ############################
# I computers non servono a niente. Danno solo risposte.. -- Pablo Picasso
# ########################################################################

Maggiori informazioni sulla lista pluto-security