[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Routing e Firewalling per una ADSL

In settimana mi e' giunta la comunicazione che ADSL e' disponibile
nella mia zona. Ovviamente in famiglia ne abbiamo approfittato per
passare al sistema superiore :)

Ci sono un paio di domande che vorrei porvi sulla strategia da
adottare per un aggiornamento indolore.

Attualmente ho un P133 con Woody (Debby) che fa da Firewall e Router.
Si collega, natta e routa tranquillamente i pacchetti.

Debby ha una scheda ethernet con indirizzo ip 192.168.1.1 che da sulla
lan (192.168.255.255).

I modem ethernet adsl che erano disponibili in zona purtroppo non
avevano la capacita' ppp over atm, ecco che sono costretto ad usare
un routerino adsl. A Debby dovro' comunque aggiungere un'altra scheda
di rete che dara' sul router.

1) la nuova scheda di rete di Debby, che indirizzo dovra' avere?
   192.168.1.1 anche lei? E' possibile una cosa del genere? Per
   evitare che routi tutti i pacchetti destinati alla lan interna
   vadano anche sul router, devo mettere quell'indirizzo con
   192.168.0.0? Mi consigliate invece un 192.168.2.1 definendolo
   come default gateway?

2) Nat, Nat, Nat. Beninteso, visto che firewalling comunque lo faro'
   fare sempre al p133 (mi fido di iptables), chi dovra' fare natting?
   Il router o Debby? Siccome vorrei poter utilizzare h323
   (netphone/netmeeting), non c'e' rischio che non possa nattarlo
   facendo fare il nat al p133 e non al routerino?

3) Dns, come aggiungo 192.168.2 al dominio farlocco della rete?
   (cosi' posso accedere al router con telnet router?)
   
Per ora ho un file privato.zone che ha

---

debby IN A 192.168.1.1

---

ed altre entry del genere... secondo voi mi basterebbe aggiungere
(diciamo) i seguenti dati?

---

debby IN A 192.168.2.1
router IN A 192.168.2.2

---

Oppure il secondo debby darebbe conflitto?
E per quanto riguarda il file .rev?
Adesso ho:

---

$ORIGIN 1.168.192.in-addr.arpa.

***valori di TTL e Root***

1       IN      PTR     debby.privato.

---

che e' collegato a named.conf con

---

zone "1.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/privato.rev";
        allow-update { none; };
};

---

Devo aggiungere un secondo file di reverse zone chiamandolo?
zone "2.168.192.in-addr.arpa"?

Puo' essere lo stesso file o deve essere per forza un altro?
    
4) Se volessi (disclaimer: e se potessi, non conosco ancora i termini
   del contratto del mio nuovo provider) fare port forwarding per aprirmi
   un serverino sperimentale per qualcosa (sto cercando di programmare
   l'ennesimo instant messaging p2p per studio) come mi dovro' comportare?
   Port Forward dal router al firewall, che fa port foward alla
   macchina che fa da server? (ci sono gia' kernel 2.4.19 precompilati
   per Debian col fix che non permette agli ICMP di passare rediretti
   sulle macchine port-fowardate?)

5) Pensiero che mi e' venuto adesso: il controllo sul source spoofing
   per 192.168.x.x dovro' probabilmente muoverlo sul router (il modello
   e' un ASUS AR6010EV) :(, vero?
   (o accettare nel firewall solo 192.168.2.1 come indirizzo, e lasciare
   che il router si smazzi lo spoof di 192.x)

6) C'e' un modo deterministico per decidere che una delle due
   schede di rete e' sempre 192.168.1.1 al boot e l'altra 192.168.2.1?
   Per ora ho sempre e solo avuto una scheda sola di rete su ciascun
   pc :)

7) Fetchmail contro Fetchmail-SSL. Dovrei avere installati i pacchetti
   di Fetchmail-SSL e in teoria dovrebbero funzionare normalmente.
   Come vengo a sapere che davvero il sistema stia girando come
   Fetchmail-SSL usando autenticazione crittografata al provider
   attuale? (Visto che le mie mailbox voglio comunque continuare ad
   usarle). Mi basta aggiungere ssl quando devo scaricare una mailbox
   e vedere l'effetto che fa?

   Mailfilter funziona con ssl? Ci sono programmi che permettano il
   tunnelling del client via SSL ad un server? O mi devo rassegnare
   a scaricare sul groppone del p133 e spamassassin i suoi 25 spam al
   giorno in piu'?
   (Una cosa e' cancellarli direttamente dal mailserver, l'altra e'
   intasare la banda scaricando merda che verra' cancellata
   appena tocchera' il server)

8) Che voi sappiate, leafnode, quando cambiero' newsserver da
   vecchioprovider a nuovoprovider, mi permettera' di mantenere
   lo stesso spool? (A me pare di ricordarmi di si')

Vi ringrazio per la pazienza che avete avuto a leggere fin qui e 
per tutte le risposte che mi darete :) (se RTFM indicatemi almeno
quale :p)

-- 
                       Davide Inglima - limaCAT
         "Mana is rapidly disappearing from the World, even the"
           "Mana Tree has begun to wither" - Seiken Densetsu 3
                   http://digilander.iol.it/nekochan/
Reply to: