RE: Routing Asimmetrico.

Buongiorno a tutti,
so che sono gia' state inviate numerose risposte a questo thread, ma
vorrei proporvi una veloce soluzione a tutte le problematiche che puo'
avere una migrazione di banda.

Ultimamente su molti sistemi operativi (firewall stesso o tools) e'
possibile effettuare routing a seconda del sorgente e non della
destinazione. Per chi utilizza linux iproute2 ha varie funzionalita' di
questo genere, anche se personalmente non le ho testate; per chi utilizza
OpenBSD dalla versione 3.1 sono state implementate in PF
(http://www.benzedrine.cx/pf.html) delle regole per fare routing. Unendo
queste al firewall e' possibile gestire due bande senza alcun problema. Vi
faccio un breve esempio per capire meglio. In questo caso viene utilizzato
un PC che non avra' alcun tipo di servizio, sara' collegato a 2 router di
due provvider differenti e si occupera del routing. Le macchine
sottostanti avranno bisogno solo degli alias della nuova banda, e di un
singolo default gateway (per adesso la vecchia banda) e continueranno ad
offrire il servizio su entrambre le bande.

I due router vengono collegati con un hub alla macchina (rl1), mentre
sulla seconda interfaccia sara' collegata allo switch della rete (rl0).

Assegnamo un ip della nuova banda al nostro "router" in maniera da non
impostare alcun indirizzo MAC fisso (altrimenti non riuscirebbe a
risolvere il MAC del router nuovo).

Classe vecchio ISP: 1.1.1.x
Router		  : 1.1.1.1

Classe nuovo ISP  : 2.2.2.x
Router 		  : 2.2.2.1

Configurazione delle due interfaccie:

	/etc/hostname.rl0
		up

	/etc/hostname.rl1
		inet 2.2.2.254 255.255.255.0 NONE

Configurazione del bridge:

	/etc/bridgename.bridge0
		add rl0
		add rl1
		up

Configurazione di PF:

	/etc/pf.conf
		block in on rl1 from any to 2.2.2.254/32
		pass out on rl1 route-to rl1:2.2.2.1 from
2.2.2.0/24 to any


Come possiamo vedere per sicurezza blocchiamo qualsiasi pacchetto che come
indirizzo di destinazione ha la macchina in questione, e aggiungiamo la
regola del routing.

In questa maniera le risposte verranno indirizzate sulla banda da cui sono
provenute.

Attualmente non e' possibile implementare questo tipo di configurazione su
un firewall che faccia anche altro, perche' l'opzione keepstate
provocherebbe dei malfunzionamenti, visto che viene processata prima del
firewalling.

Buone feste a tutti.

Inode


Daniele Besana wrote:
> Ciao a tutti,
> considerate questo caso:
> sopponiamo che ho la necessit di cambiare provider e indirizzi IP.
> Durante la transizione voglio la raggiungibilit di vecchi e nuovi
> indirizzi, quindi ho il mio firewall che riceve il traffico dai 2 router
dei
> provider e che ha come default gateway solo il router del nuovo ISP.
> Questo  routing asimmetrico, il traffico entra da un router ed esce
> dall'altro, il firewall  statefull ma abbastanza intelligente da
permettere
> al traffico di uscire da una interfaccia diversa (quella del gateway) da
> quella di ingresso senza problemi.
> Bene, supponiamo che vengo a scoprire che i router dei provider hanno
delle
> ACL per inoltrare solo il traffico proveniente dalla classe assegnata.
> Supponiamo che lo facciano per non trasportare il traffico altrui (anche
se
> il routing  solo in base alla destinazione!)
> Supponiamo anche che i provider non si dimostrano collaborativi e non
> vogliono muovere un dito.
> Supponiamo anche che il firewall non supporta il source routing.
> Dopo tutte queste supposte ;-))) le domande sono precise:
> -  giusto che un ISP applichi questi filtri?
> -  normale che un ISP applichi questi filtri?
> - il source routing  l'unica via d'uscita?
> - ma possibile che ce ne sia sempre una???? ;-)
>
> In fondo non mi pare che sia una problematica cos trascendentale...
> Grazie e Auguroni!
>
> ---
> Daniele Besana - ICQ 21963839
> IT Virtual Community
> www.itvirtualcommunity.net


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List