Re: Linux Gateway con router Cisco Soho 97
Innanzitutto ti ringrazio della gentile collaborazione.
Cercherò di spiegarmi meglio:
mi necessità creare un gateway che avendo due schede di rete (una coll. al router Cisco, l'altra allo switch Lan) assolva
1) non solo alla funzione di far accedere ad internet tutte le macchine della rete (NAT),
2) ma che protegga se stesso e la rete da accessi indesiderati (packet sniffing, IDS ed altro),
3) dovendo consentire l'accesso a servizi web che dobbiamo rendere disponibili, tipo un sito web server ed un mail server (Forwarding).
Per quanto riguarda l'http e l'ftp ho deciso di installare squid come proxy, per quanto riguarda tutti gli altri protocolli ci penserà direttamente il NAT.
Il mio problema è capire in che modo configurare la scheda eth1 collegata al router, in quanto non ci capisco nulla dalle informazioni che ho a disposizione:
PP X.Y.161.48/30 (50 impegnato dal router), subnet 255.255.255.252
LAN X.Y.185.179/29 (177 impegnato dal router), subnet 255.255.255.248
qualcuno mi ha detto che devo riconfigurare il router in modo che non faccia più natting, è vero? bho
Ad ogni modo, cerco di spiegarmi a modo mio, credo che il router debba diventare un'interfaccia del gateway che a quel punto faccia anche routing e tutto il resto sopra specificato.
mi hanno consigliato la seguente configurazione:
$ ifconfig eth1 up X.Y.161.48 netmask 255.255.255.248
$ ifconfig eth0 up 10.0.0.102 netmask 255.255.255.0
$ route add default gw indirizzo_gateway_del_router_telecom
$ iptables -F
$ iptables -F -t nat
$ iptables -t NAT -A POSTROUTING -p all -o eth1 -j SNAT --to X.Y.161.48
$ echo "1" > /proc/sys/net/ipv4/ip_forward
che non ho provato ancora, ma prima volevo cercare di capire cosa sto facendo, altrimenti mi ritroverò nei casini.
Grazie.
debian-italian@lists.debian.org
Il giorno gio, 08/09/2005 alle 00.25 +0200, Jangar ha scritto:
> Salve a tutti,
>
> pongo qui una richiesta di aiuto in quanto mi è stato affidato il
> compito di realizzare un gateway linux in azienda e non credo di
> essere sufficientemente pratico per poterlo fare.
>
> Specifico che abbiamo, al momento, un router Cisco Soho 97 con IP
> Pubblico Statico che fa Natting, ecco la mappa IP:
> PP X.Y.161.48/30 (50 impegnato dal router), subnet 255.255.255.252
> LAN X.Y.185.179/29 (177 impegnato dal router), subnet 255.255.255.248
>
> Fedora Linux Core 4 x86_64
Ops leggendo meglio leggo che non usi neanche Debian, urca, ti ho
risposto sbagliato.
> L'idea è la seguente:
>
> eth1 eth0
> Internet <--> Router <--> Linux GW <--> LAN
>
> il Linux Gateway deve assolvere le seguenti funzioni:
> 1) Firewalling da e verso l'esterno
> 2) NAT / PAT
> 3) Forwarding per esternalizzare servizi web (http, mail, etc)
> 4) http proxy
>
> per il (4) ho deciso di utilizzare squid. Per il firewalling già ho
> praticato qualche regola con iptable, il problema sta nel configurare
> nel modo giusto le schede di rete del gateway ed evantualmente il
> router in modo da non far fare più il nat a quest'ultimo.
Non ho capito bene bene cosa vuoi fare ma puoi usare anche due NAT,
configurare il linux gw non come firewall con iptable ma in firewall
bridge. In questa maniera il tuo gateway Linux è trasparente e squid non
viene neanche visto dagli utenti. Altrimenti ti consiglio di provare
shorewall e provare a vedere se le configurazioni degli esempi ti vanno
bene.
> Ringrazio anticipatamente chiunque sappia darmi una mano.
Spero di esserlo stato comunque, sentiti libero di scrivermi
direttamente.
Ciao
Stefano
--
Stefano Canepa aka sc: sc@linux.it http://www.stefanocanepa.it
Three great virtues of a programmer: laziness, impatience and hubris.
Le tre grandi virtù di un programmatore: pigrizia, impazienza e
arroganza. (Larry Wall)
Carmine (Gianluca)
Gargiulo
jangar@inwind.it
Reply to: