FIREWALL o MONOWALL???

[|Dr_AXIA|]

SAlve ragazzi, sono nuovo di questo forum e vogliate scusarmi se nel porvi questo quesito potrò sembrareun pò ignorante in materia....
Vabbè, procediamo con ordne:

Mi hanno domandato di configurare un server LINUX, in una rete locale con client misti, come discriminatore di indirizzi, attaverso la configurazione di un file batch che agisce come firewall. In alcune riviste ho visto degli esempi simili e tale file viene posto in /etc/rc.d/ però il funzionamento di certi parametri m'è ancora oscuro e a parte questo non mi funziona ancora (no so se per qualche sbaglio che ho fatto nel riscrivere il file batch o se per qualche strana onfigurazione hardware che ho io in rete locale)....cmq procediamo.

Io il server devo configurarlo come una specie di server NAT ma che agisca in locale fra 2 PC che appartengono a reti di differente dominio, ovvero:

PC1---> IP 172.20.5.10 BROADCAST 172.20.5.255 NETMASK 255.255.255.0 GATEWAY 172.20.5.1
PC2---> IP 172.20.6.10 BROADCAST 172.20.6.255 NETMASK 255.255.255.0 GATEWAY 172.20.6.1
SERVER PC---->IP1 172.20.5.1 IP2 172.20.6.1 IP3 172.20.7.1 ecc....

Ora, io ho assegnato ai 2 pc detti indirizzi colle varie specifiche e al server i vari indirizzi IP sulla stessa scheda rete facendo + copie dei vari fie di configurazione della rete presenti nella cartella etc/sysconfig/network-scripts/... e rinominandoli adeguatamente come eth0:1,eth0:2,ecc..

Lo scopo è di fare passare il traffico rete tra i 2 PC delle 2 sottoreti attraverso il server che discriminerà il passaggio dati nel seguente modo:

172.20.5.10 VEDE 172.20.6.10
172.20.6.10 NON VEDE 172.20.5.10

Praticamente creare un file batch e farlo partire in modo che agisca come firewall. Spulciando giornali, riviste e un pò di libri, ho trovato
qualcosina di listati di firewall base...per il mio caso specifico ho tolto delle cose e modificato altre, ma ovviamente non mi funziona ancora, xkè facendo il ping si vedono ancora tutti e 2.

C'è anche da dire che la mia rete locale è dotata di + PC collegati fra loro da un hub...m'è venuto anche da pensare che forse è x questa configurazione che il "firewall" modificato, pur andando non mi fa quello che dovrebbe.

Voi che dite??

Scusate se vi ho disturbato e fatto perdere tempo e grazie per l'eventuale aiuto

[Samba84]

Cioè, scusa se ricapitolo, 2 subnet collegate ad un hub e quest'ultimo collegato al gateway tramite un'unica interfaccia?
La cosa funzionerebbe se si trattasse di uno switch, ma gli hub se ne fregano degli indirizzi ip...

[|Dr_AXIA|]

Cioè, scusa se ricapitolo, 2 subnet collegate ad un hub e quest'ultimo collegato al gateway tramite un'unica interfaccia?
La cosa funzionerebbe se si trattasse di uno switch, ma gli hub se ne fregano degli indirizzi ip...

sul serio???

Bè in realtà sarebbe un'emulazione che ho provato a fare io sulla ia rete locale (per prepararmi poi al vero lavoro nel posto in cui dovrei farlo).
in pratica io ho 3 pc in rte locale collegati fra loro da un hub...e cerco di emulare la situazione di due sottoreti nelsuddetto modo....non so se sono riuscito a spiegarmi.

Ma sul serio con un hub potrei avere dei problemi a fare sta cosa???

[TheIrish]

Si si, è chiaro.
Ma il tutto sta nella differenza tra hub e switch.
L'hub broadcasta i dati a tutte le sue porte, l'interessato li prende, gli altri li scartano. Attua di fatto un'azione passiva.
Al contrario, uno switch è un elemento attivo, e tramite il protocollo arp associa indirizzi ip a mac address, scegliendo il percorso. Se le subnet sono diverse, non comunicano tra di loro e i dati vengono rigirati verso il default gateway

[|Dr_AXIA|]

e con sto server che faccia da ponte(essendo configurato da default gateway per tutti e 2 i pc client) non riesco a risolverlo questo problema? Cosa dovrei fare?

[TheIrish]

1. puoi sostituire l'hub con uno switch (magari che supporti le VLAN)
2. puoi acquistare un altro hub e installare una scheda di rete supplementare nel gateway, separando fisicamente le subnet

[|Dr_AXIA|]

Ora ho un SOHO NETWORK SERIES NWAY SWICTH 8+1 PORT....va meglio???

SEntendo anche in giro però mi han detto che se si vuole che un firewall funzioni al meglio su un server linux bisognerebbe aggiungere + schede rete, ognuna per ogni sottorete....è vero?

Nel qual caso allora io dovrei fare solo in questo modo per ovviare al mio problema?

[MasterPenguin]

Ora ho un SOHO NETWORK SERIES NWAY SWICTH 8+1 PORT....va meglio???

Va indubbiamente meglio

SEntendo anche in giro però mi han detto che se si vuole che un firewall funzioni al meglio su un server linux bisognerebbe aggiungere + schede rete, ognuna per ogni sottorete....è vero?

E' indubbiamente vero! La soluzione con un'unica scheda è, come dire, frugale. Un'interfaccia x subnet è Moooooolto meglio

[zot]

Anche se molti qui mi bacchetteranno,...........
hai pensato a installare una distro tipo proprio questa http://m0n0.ch/wall/ con ogni interfaccia per quante sub vuoi,configurando il tutto in maniera piuttosto agevole ?

[|Dr_AXIA|]

Se potessi, lo farei anche subito...ma mi è stato detto di fare ESPRESSAMENTE così

[Samba84]

Anche se molti qui mi bacchetteranno,........

sono qui per questo, infatti

hai pensato a installare una distro tipo proprio questa http://m0n0.ch/wall/ con ogni interfaccia per quante sub vuoi,configurando il tutto in maniera piuttosto agevole ?

se lo facessi, riscontreresti le stesse identiche problematiche. Non c'è alcun problema a configurare + sub ad interfaccia, e non lo è per alcuna distro. I veri fastidi sono nel thrughput reale e nella scrittura del firewall, indirifferentemente dalla distro

[|Dr_AXIA|]

Anche se molti qui mi bacchetteranno,........

sono qui per questo, infatti

hai pensato a installare una distro tipo proprio questa http://m0n0.ch/wall/ con ogni interfaccia per quante sub vuoi,configurando il tutto in maniera piuttosto agevole ?

se lo facessi, riscontreresti le stesse identiche problematiche. Non c'è alcun problema a configurare + sub ad interfaccia, e non lo è per alcuna distro. I veri fastidi sono nel thrughput reale e nella scrittura del firewall, indirifferentemente dalla distro

appunto...x quanto riguarda la scrittura del firewall avete delle dritte (se possibile) da darmi?

[Sushi]

Beh, senza dubbio usare + interfacce sullo stesso gateway può risultare estremamente utile nella scrittura del firewall, visto che così puoi lavorare sulle interfacce anzichè sugli indirizzi.
Innanzi tutto ti consiglio di dare un'occhiata al tutorial che ha fatto il capo: http://www.ciscoforums.it/viewtopic.php?t=82
è proprio specifico per la creazione di un gateway.
Se poi hai bisogno di informazioni di carattere "stilistico" qui c'è più di qualcuno che ne capisce un bel po'!

[|Dr_AXIA|]

Beh, senza dubbio usare + interfacce sullo stesso gateway può risultare estremamente utile nella scrittura del firewall, visto che così puoi lavorare sulle interfacce anzichè sugli indirizzi.
Innanzi tutto ti consiglio di dare un'occhiata al tutorial che ha fatto il capo: http://www.ciscoforums.it/viewtopic.php?t=82
è proprio specifico per la creazione di un gateway.
Se poi hai bisogno di informazioni di carattere "stilistico" qui c'è più di qualcuno che ne capisce un bel po'!

Dankiu grazissime ....una domanda specifica:
nel pacchetto ICMP qual'è il codice per segnalare da IPTABLES solo il PONG del PING(se esiste)?
so che l'8 è per l'echo e l'11 per il time exceeded...

[Asimov]

Il codice non lo ricordo ma puoi usare il riferimento mnemonico echo-reply in modo analogo (-p icmp --icmp-type echo-reply)