Re: Implementare una rete Lan (Firewall + proxy)
maurizio wrote:
> Gateway e router sono la stessa cosa. L'indirizzo gateway da impostare
> sui win e su linux è l'indirizzo del router, ovvero l'indirizzo
> attraverso il quale vai su internet. Quando con la linux box fai il ping
> dell'indirizzo del router, e quello risponde, vuol dire che hai la via
> aperta verso internet. Lo stesso deve accadere per i win. Però questo
> avverrà solo se sulla linux box sarà attivato l'ip forwarding
quando andrai a scriverti lo script di iptables per gestire l'accesso a
Internet della tua sottorete Windows (ovvero cosa consentire e bloccare)
ti consiglio di attivare l'ip forwarding (come gia` suggerito)
#!/bin/sh
#
# eth0 pubblica - Linux
# eth1 subnet privata - Windows
echo 1 > /proc/sys/net/ipv4/ip_forward
che è
> controllato attraverso l'iptables. Shorewall ti semplifica la vita
> perchè gestisce l'iptales che è alquanto complicato (personalmente non
> sono interessato ora ad imparare iptables, ma ho bisogno che sia
> configurato correttamente).
un semplice file script (iptables.sh) da far partire all'inizio della
tua debian box - firewall potrebbe essere:
IPTABLES="$(which iptables)"
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $IP_PUBBLICO
-con-il-quale-vuoi-uscire
#
# Catena di INPUT. Permetto SOLO ssh sul router sia dall'esterno che
dalla mia intranet...alla fine della catena blocco tutto con -j DROP
#
$IPTABLES -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -j DROP
#
# Permetto il ping dall'interno verso l'esterno e le connessioni gia`
stabilite
#
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -o eth0 -p icmp -m state --state NEW -j ACCEPT
#
# Qui definisci cosa permettere alle tue windows-box ... nel caso sotto
solo http
#
$IPTABLES -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -m state --state
NEW -j ACCEPT
$IPTABLES -A FORWARD -j DROP
# Catena di OUTPUT
$IPTABLES -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -j DROP
questo dovrebbe funzionare.
a questo punto, dai windows, come gia` suggerito, provi con un ping e
vedi se risponde...se si, apri il broser e provi a navigare senza proxy
(e` trasparente per ilmomento)
piu` o meno e` la conf. che uso pure io ... :-)
sopero ti sia utile.
fabrizio
> Da win fai ping www.libero.it.... un pacchetto di dati parte dalla win e
> va verso 192.168.0.1 (eth1). Il lavoro dell'ip forwarding della linux
> box è quella di girarlo verso 56.194.36.x, che lo invierà al gateway
> 56.194.36.12 e da qui al provider etc,etc.... indirizzo finale.
>
> Guarda i comandi route, ifconfig, ifup, ifdown e ...iptatble
>
> Gianluca Gargiulo wrote:
>
>> Scusa, ma il gateway giusto da applicare alle schede di rete quale
>> sarebbe?
>>
>> Il 16/09/05, *maurizio* <lgigo@libero.it <mailto:lgigo@libero.it> > ha
>> scritto:
>>
>> WannaBe wrote:
>>
>> >Ho l'esigenza di implementare una nuova rete Lan formata da un
>> server Linux
>> >debian e client Windows (per ora 2 o 3).
>> >Vi spiego cosa vorrei fare:
>> >
>> >Innanzitutto il collegamento ad internet è dato da una linea
>> adsl flat
>> >connessa ad un router che mi fa anche da switch (4 porte)
>> >Il mio server debian mi deve fare da firewall e anche da proxy
>> server in
>> >modo da avere maggior controllo sui vari pc windows della rete.
>> >
>> >Parlando con un amico mi ha detto che per ottenere una cosa simile
>> devo
>> >avere due reti logiche separate, e cioè una che va dal router al
>> server
>> >debian e uno che va dal server debian alla mia rete lan, quindi
>> due schede
>> >di rete, pensavo una con 192.168.x.x e una con 10.1.x.x
>> altrimenti, se sono
>> >sulla stessa rete, non riesco a "costringere" i vari pc a passare
>> attraverso
>> >il debian, prima di uscire in internet.
>> >Dovrò quindi utilizzare un hub o un altro switch per connettere la
>> mia rete
>> >Lan al firewall, non sfruttando le porte libero del router adsl.
>> >
>> >E' giusto come ragionamento? E una soluzione corretta?
>> >Spero di essermi spiegato bene.
>> >
>> >Ciao
>> >
>> >
>> >
>> >
>>
>>
>> Schemino:
>>
>> internet
>> |
>> |
>> ADSL router 56.194.36.12 <http://56.194.36.12> (indirizzo statico
>> gateway fornito da |
>> provider)
>> |
>> eth0 56.194.36.x (altro indirizzo statico fornito da
>> provider)
>> Firewall Linux Box
>> eth1 192.168.0.1 <http://192.168.0.1> rete interna
>> |
>> switch
>> |
>> |--Winzozz1 ( 192.168.0.10 <http://192.168.0.10>)
>> |---Winzozz2 (192.168.0.9 <http://192.168.0.9>)
>> |----Winzozz3 (192.168.0.8 <http://192.168.0.8>)
>> |-----WinzozzX (192.168.0.x)
>>
>> (l'indirizzo 56.194.36.12 <http://56.194.36.12> è solo di
>> esempio....)
>> La configurazione del router, che dipende da quello che dice il
>> provider, forza un pò il resto della configurazione.
>> eth0 ed eth1 sono le schede di rete installate sul pc di linux
>> Per il firewall ho usato shorewall (iptables, a saperlo usare,
>> sarebbe
>> l'ideale).
>> Il proxy non lo vedo indispensabile e non lo uso. Ho installato il
>> dchp
>> server per servire ai pc win la configurazione giusta. Samba mi
>> permette
>> di gestire la rete privata dei win, la condivisione dei file e della
>> stampante.
>>
>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
>> <mailto:debian-italian-REQUEST@lists.debian.org>
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
>>
>>
>>
>>
>> --
>> Carmine (Gianluca) Gargiulo
>
>
>
>
>
Reply to: