Re: Rete casalinga

On Sat, May 26, 2001 at 02:41:29PM +0200, Chapter 0 wrote:

> Salve a tutti,
> avevo in mente di tirare su una piccola rete casalinga ma 
> sono in dubbio su come configurarla. 
> 
> Le componenti queste:
> Modem ADSL 3Com Duallink

da quello che mi ricordo (e non ho potuto verificare, visto che il sito di
3com fa abbondante uso di java infischiandosene - come molti altri -
dell'accessibilita' per i non java-flash-altripluginlangecosistupidi-enabled)
quest'affare e' usb e dubito vada sotto obsd/linux. Poi se c'e' una versione
"normale", tipo adsl <> eth. e' un altro discorso.

> Digicom Miniswitch 10/100
> 
> 1 Macchina OpenBSD
> 1 Macchina Linux
> 1 Macchina Win2k
> 
> L'idea è questa:
> pensavo di utilizzate la OpenBSD come Firewall + NAT e 
> aggiungerci Snort per IDS. Ma i miei dubbi vengono su come 
> poi effettivamente implementare la soluzione:

mah, guarda, secondo me fai un affare migliore prendendoti un routerino adsl
che faccia gia' lui da nat ed eventualmente abbia la possibilita' di
forwardare il traffico su qualche porta dentro (ip singolo, presumo, vero?).
Ti eviti lo sbattimento di una macchina sempre accesa, etc. Tipo uno zyxel
642R o un 3com (nonricordoilmodello), etc.

Poi ovviamente dipende da quello che devi fare, ma essendo la tua lan
casalinga, non credo che tu abbia tutta questa necessita' di controllare che
gli utenti della rete interna che non facciano questo o quello.

> potrei da un lato collegare direttamente l'ADSL allo switch.

pessima idea (sempre che non faccia gia' direttamente da nat l'adsl (o
meglio il router/modem/coso adsl).

> ADLS   BSD  Linux  WIN
>  |      |     |     |
>  |      |     |     |
>     
>      S W I T C H
> 
> Ma potrei d'altro canto montare sulla macchina OpenBSD 2 NIC: 
> alla prima agganciare l'ADSL e alla seconda lo switch. Quindi 
> Snort controllerebbe il traffico sulla NIC interna.

beh, ha piu' senso controllare il traffico su quella esterna, in questo caso
(che poi in realta' e' gia' cmq interna, perche' e' dietro il coso adsl, che
puo' essere attaccato e tu potresti anche non rendetene conto). Non so il
coso 3com, lo zyxel - usa lo stesso firmware dei buony vecchi zyxel prestige
1xx isdn - ha un minimo di feature di filtro e logging (anche syslog
esterno) e cmq di default e' abbastanza blindato verso l'esterno. Due note
negative sono: il port forwarding lo fa solo sulla stessa porta, ovvero
ext:80 -> int:80, NON ext:80 -> int:8000 etc.; gli icmp non li forwarda
(anche se gestisce un minimo di nat su quelli "in ritorno", tipo
unreachable, echo reply, etc.)

>  
> ADSL --- > NIC1 (BSD) NIC2 ---> S W I T C H 
>                                   |     |
>                                   |     |
>                                 Linux  WIN

come ripeto, secondo me e' inutile per una rete single-ip casalinga avere un
ambaradan del genere, anche perche' se prendi un router adsl, _di solito_
non si riesce cmq a rigirare tutto il traffico verso il bsd interno. Se e'
un modem, devi avere il supporto pppoe o pppoa (il secondo credo ci siano
solo delle cose molto molto sperimentali in leenucs - magari mi sbaglio) e
devi avere una macchina sempre accesa che faccia da nat e quel che e'.

bye
Koba

-- 

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
 --
free advertising: www.openbsd.org - Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List