Re: LAN Aziendale, tanti IP fissi, DMZ ed un firewall

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2003 ml@sikurezza.org
Soggetto: Re: LAN Aziendale, tanti IP fissi, DMZ ed un firewall
Mittente: Dario Lombardo
Data: 30 Sep 2003 11:03:14 -0000

Michele Elisio wrote:

Salve a tutti!
Ho un problema che non riesco a risolvere.
Nell'azienda dove lavoro hanno un contratto Interbusiness con 8 o più IP
fissi ed 1 router Pirelli uB (credo).
Il router è configurato in modo tale per cui è presente una rete "nattata"
(192.168.2.X) di una ventina di PC che va su internet senza problemi (senza
firewall in mezzo, solo hub).
Se inoltre si attacca al router un PC (un server FTP, per esempio)
configurato con un *IP pubblico* a caso tra quelli forniti dal provider,
questo è raggiungibile direttamente dall'esterno.

Ora, qui in azienda vorrebbero mettere un firewall LINUX tra il router e
la lan, e su di una terza scheda di rete (del firewall, s'intende) una DMZ
con 2 server (tra cui quello FTP di cui sopra).
Il problema principale è che non possiamo accedere alla configurazione del
router Pirelli.

IP Router 192.168.2.1
IP Firewall 192.168.2.17 sulla sua *eth0*
la LAN la vorremmo mettere su *eth1* con indirizzi 10.0.0.X

la DMZ con mappatura 1:1 dei servizi su 10.10.0.X (*eth2*)
in modo tale che la richiesta FTP su un certo indirizzo pubblico sia
mappata sull'IP del server nella DMZ ("zona demilitarizzata")

Abbiamo dei problemi su come procedere per "intercettare" con il firewall
gli IP pubblici.
Personalmente pensavo di creare degli IP alias sulla eth0 in modo da avere

eth0:0 -> 192.168.2.17 eth0:1 -> IP Pubblico1 eth0:2 -> IP Pubblico2 .....

No. Bastano 2 interfacce che corrispondono alle 2 subnet che il pirelli ha configurato. 1 per la lan interna, una per la subnet pubblica. Ti dico questo perche' il Pirelli vede solo 2 lan, "internal lan" e "public lan".

o qualcosa del genere, e mettere delle regole su IPTABLES per mappare IP e porte verso indirizzi DMZ 10.10.0.X:21 (ftp), 10.10.0.Y:80 (HTTP). E' giusto come modo di procedere? In azienda si discute se il router "natti" gli IP pubblici sulla rete privata 192.168.2.X o meno (secondo altri si, secondo me no).

No non natta. Cioe' se tu vuoi che un PC sia visibile sulla dmz gli devi impostare l'ip pubblico. Se vuoi che abbia un indirizzo privato e che sia nattato allora lo metti sulla lan interna e attivi l'opzione "Virtual Server" del Pirelli.

Io credo che nat e routing nel Pirelli siano slegati, e che dal router
escano pacchetti con destinazione "IP pubblico" e "IP_LAN"
contemporaneamente, e che semplicemente i vari PC connessi in rete non li
vedano tutti per via dei vari netmask ecc.
Mi sbaglio (se si non mi offendo, non sono un campione sulle reti... :) )?

Quello che dici e' corretto.

Eventualmente, oltre a configurare gli alias, devo modificare qualcosa con "route"?

No, basta che il firewall abbia una default route e che quindi sia in grado di raggiungere il pirelli, in qualche modo.

P.S.: il manuale del router Pirelli è introvabile, ed il provider non dà lo username e la password per configurare la macchina.

Vero, il manuale e' introvabile. Pero' se fai come abbiamo detto e smanetti un po' con un network analyzer ce la fai. Indubbiamente la soluzione, se posso dire, non e' delle migliori, perche' praticamente tu fai 2 nat e 2 pat prima che un pacchetto giunga a destinazione. Forse converrebbe valutare la possibilita' di comprare un router tipo il pirelli, in modo da poterci mettere le mani sopra, svincolandosi dalle configurazioni "fisse".

P.P.S.: mi sono studiato tanti documenti, qualche Tanenbaum e questo
HOW-TO,
ed infatti sto usando una versione modificata dello script consigliato.
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Thx in anticipo per l'aiuto! :)


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List


--
Dario Lombardo
Centro Sicurezza Be-Secure
Telecom Italia LAB


====================================================================
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons
above and may contain confidential information. If you have received
the message in error, be informed that any use of the content hereof
is prohibited. Please return it immediately to the sender and delete
the message. Should you have any questions, please contact us by
replying to MailAdmin@xxxxxxxxxx Thank you
====================================================================

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- LAN Aziendale, tanti IP fissi, DMZ ed un firewall, Michele Elisio

Data:
- precedente: Filesystem cifrati su Solaris/SPARC, Fabio Pietrosanti (naif)
- indice

Argomento:
- precedente: LAN Aziendale, tanti IP fissi, DMZ ed un firewall, Michele Elisio
- successivo: Filesystem cifrati su Solaris/SPARC, Fabio Pietrosanti (naif)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005