(R)e: [PLUTO-security] Firewall o routing ?

Beppe beppebz a tin.it
Gio 9 Ott 2003 21:05:41 CEST 

Parlando di "(R)e: [PLUTO-security] Firewall o routing ?" Rex Sanna ha 
scritto:
> De : [PLUTO-security] Firewall o routing ? [Beppe]
>
> # Ciao Dido, ciao ReX...
> # grazie per la risposta.
>
> IL MIO NOME SI SCRIVE : " (R)ex "
> Beppe, non fartelo dire piu'.. ;o)

Sorry.. andavo di fretta (va bene come giustificazione)

> # Ma infatti NAT lo tenuto come soluzione tampone fin tanto che non risolvo
> # questa magagna; purtroppo i server devono continuare a funzionare e
> quando # non ho la possibilitā di provare riabilito il NAT.
> #
> # Quando pero' eseguo questo genere di prove (connesioni dirette al IP
> pubblico) # lo disabilito completamente.
> Questo implica che se dai come comando :
>
> (R)ex [zero][root] > iptables -L
> Chain INPUT (policy ACCEPT)
> target     prot opt source               destination
>
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination

No, ho disabilitato il NAT, non le regole di controllo del traffico !

> (R)ex [zero][root] > iptables -t nat -L
> Chain PREROUTING (policy ACCEPT)
> target     prot opt source               destination
>
> Chain POSTROUTING (policy ACCEPT)
> target     prot opt source               destination
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
>
> Giusto?

Questo si !!!!

> Partiamo da questa base..
>
> # Le mani sul router non le ho messe io arghhh :)
> Questo poco conta..

Visto che ho risolto il problema, e visto che lo stesso si anndava proprio sul 
router, dire che invece a contato moltissimo :)

> # INTERNET(IPpubblico)<---ROUTER(10.0.1.254) <---- (10.0.1.1)FIREWALL
>
> ARRRRGGHHH!!!!
> Che ci fa un router DENTRO la tua zona??
> Non hai parlato di WAN.

Scusa, lo dato per scontato !

> Questo complica notevolmente quello che stai descrivendo..
> [A meno che con "INTERNET(IPpubblico)" tu intenda altro..]

No... č proprio quello che hai inteso tu: una WAN !

<cut>

> Per un qualcosa di sicuro [e qui' Dido..] conviene avere DUE schede di rete
> sulla macchina gateway/firewall in maniera tale da dividere il traffico e
> le reti.

3 schede: eth0 - eth1 - eth2

> La macchina GATEWAY/FIREWALL la chiamo : ZERO
>
> ZERO e' gateway e firewall per tutta la sua sottozona che immagino
> attaccata a ETH1. ZERO parla con il router [telecom/tiscali/libero/quello
> che ti pare] tramite la prima scheda di rete [eth0].
>
> L'indirizzo IP PUBBLICO PERTANTO STA SULLA SCHEDA ETH0!!
> L'indirizzo IP PRIVATO STA SULLA SCHEDA ETH1!!!
> [E da qui non ci si muove..]

Si... capisco; premetto solamente che fino a pochi giorni fa tutti i servizi 
erano nattati su IP privati, e tutte le reti che ho messo su fino ad ora (di 
piccole dimesioni) erano in questa tipologia !

Picolla parantesi:  offrono cmq. un ottimo funzionamento, ma quando iniziano 
ad aumentare in termini di struttura e quant'altro, ti trovi costretto a 
rivedere i tuoi piani di battaglia, una cosa del tutto normale !
Dall'altra parte tu mi insegni che ogni giorno si impara qualcosa di nuovo,
e oggi era uno di quelli. Chissa cosa imparero' domani! :)  FINE PARENTESI.

Trovandomi la subnet da 8 IP ho deciso di piazzare giustamente gli IP pubblici 
sui server, ma era la prima volta che mi scontravo con questa tipologia di 
configurazione e quindi la domanda č stata spontanea: devo assegnare un IP 
pubblico anche a eth0, se il traffico passante verrā dirottato verso la WAN ? 
Inoltre non NATTANDO piu' i servizi, la logica mi ha suggerito che le 
risposte sarebbero uscite con  l'IP sorgente sorgente. 

Pertanto e come avrai capito, ho optato per lasciare la zona ROUTER/FIREWALL, 
come rete privata... 

Il problema quindi ? moooolto semplice (l'avevo detto che era una cavolata):
giunto al router, al pacchetto veniva modificato l'IP sorgente con quello che 
stava sulla WAN... con ovvie ripercusioni !

<cut>

> Quando siete a questo punto, allora scrivere ancora su questa ML.

Eccomi qui, č stata una piacevole chiacchierata !

> Costo consulenza 75Euro + un caffe' e un posacenere dove 'schisinare'..

Azz... sei a buon mercato direi; quando ci si becca ti offro la colazione :)
-- 
GnuPG Public KEY: 
--->[http://www.bpnets.org/beppe.asc]

Maggiori informazioni sulla lista pluto-security