LAN Aziendale, tanti IP fissi, DMZ ed un firewall

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2003 ml@sikurezza.org
Soggetto: LAN Aziendale, tanti IP fissi, DMZ ed un firewall
Mittente: Michele Elisio
Data: 29 Sep 2003 17:53:58 -0000

Salve a tutti!
Ho un problema che non riesco a risolvere.
Nell'azienda dove lavoro hanno un contratto Interbusiness con 8 o più IP
fissi ed 1 router Pirelli uB (credo).
Il router è configurato in modo tale per cui è presente una rete "nattata"
(192.168.2.X) di una ventina di PC che va su internet senza problemi (senza
firewall in mezzo, solo hub).
Se inoltre si attacca al router un PC (un server FTP, per esempio)
configurato con un *IP pubblico* a caso tra quelli forniti dal provider,
questo è raggiungibile direttamente dall'esterno.

Ora, qui in azienda vorrebbero mettere un firewall LINUX tra il router e
la lan, e su di una terza scheda di rete (del firewall, s'intende) una DMZ
con 2 server (tra cui quello FTP di cui sopra).
Il problema principale è che non possiamo accedere alla configurazione del
router Pirelli.

IP Router 192.168.2.1
IP Firewall 192.168.2.17 sulla sua *eth0*
la LAN la vorremmo mettere su *eth1* con indirizzi 10.0.0.X

la DMZ con mappatura 1:1 dei servizi su 10.10.0.X (*eth2*)
in modo tale che la richiesta FTP su un certo indirizzo pubblico sia
mappata sull'IP del server nella DMZ ("zona demilitarizzata")

Abbiamo dei problemi su come procedere per "intercettare" con il firewall
gli IP pubblici.
Personalmente pensavo di creare degli IP alias sulla eth0 in modo da avere

eth0:0 -> 192.168.2.17
eth0:1 -> IP Pubblico1
eth0:2 -> IP Pubblico2
.....
o qualcosa del genere, e mettere delle regole su IPTABLES per mappare IP e
porte verso indirizzi DMZ
10.10.0.X:21 (ftp), 10.10.0.Y:80 (HTTP).
E' giusto come modo di procedere? In azienda si discute se il router
"natti" gli IP pubblici sulla rete privata 192.168.2.X o meno (secondo altri
si, secondo me no).
Io credo che nat e routing nel Pirelli siano slegati, e che dal router
escano pacchetti con destinazione "IP pubblico" e "IP_LAN"
contemporaneamente, e che semplicemente i vari PC connessi in rete non li
vedano tutti per via dei vari netmask ecc.
Mi sbaglio (se si non mi offendo, non sono un campione sulle reti... :) )?

Eventualmente, oltre a configurare gli alias, devo modificare qualcosa con
"route"?

P.S.: il manuale del router Pirelli è introvabile, ed il provider non dà
lo username e la password per configurare la macchina.
P.P.S.: mi sono studiato tanti documenti, qualche Tanenbaum e questo
HOW-TO,
ed infatti sto usando una versione modificata dello script consigliato.
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Thx in anticipo per l'aiuto! :)


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: LAN Aziendale, tanti IP fissi, DMZ ed un firewall, Dario Lombardo

Data:
- precedente: RE: as400 + WIN2000, Simo Sorce
- successivo: Filesystem cifrati su Solaris/SPARC, Fabio Pietrosanti (naif)
- indice

Argomento:
- precedente: Re: Rootkit ?, Fabio Pietrosanti (naif)
- successivo: Re: LAN Aziendale, tanti IP fissi, DMZ ed un firewall, Dario Lombardo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005