[NaLug] Networking [Was: Fwd: non riesco a spedire nella lista...]

Giorgio Agrelli giorgio_a a inwind.it
Ven 4 Feb 2005 16:31:05 CST 

Phib3r Optik wrote:

> Da quello che sono riuscito a capire, mi basterebbe impostare una regola 
> sul router adsl che inoltri TUTTI i pacchetti (tcp/udp any port) verso 
> il firewall e poi qui effettuare il routing verso le macchine private?
> 
> Il questo caso i successivi port forwarding dove li dovrei settare? sul 
> firewall o ancora sul router adsl?
> 
> P.S. Vi prego NON appiccichiamoci in flame sul perche' ho scelto di 
> usare freebsd e non linux! ;-)

riporto qui le cose (molto confuse) che ho scritto anche sul forum....

**********

Ciao Phib3r,
secondo me puoi facilmente risolvere impostando il forward di tutte le 
porte tcp ed udp della WAN dal router-adsl verso il router/firewall unix 
(ai quali assegni degli ip di una subnet). A questo punto il 
router/firewall unix si occuperà di gestire secondo le regole che 
imposti tu le connessioni in ingresso, e deciderà di volta in volta a 
quale ip della tua rete locale (a cui dai una altra subnet) forwardare 
le connessioni in ingresso... è meglio avere 2 schede di rete per questa 
cosa ma non è necessario... basta fare degli alias alle interfaccie di 
rete (rl0:0 rl0:1 ad es su FreeBSD per schede realtek o eth0:0 eth0:1 su 
Linux)
Alcuni router ADSL chiamano (un po' impropriamente) questa funzione DMZ 
(e molti fanno anche il multi-DMZ se hai più IP pubblici), ma anche se 
il router non la fa basta definire un range di porte da 0 a 65535 e 
forwardarle tutte verso l'ip del firewall/router unix...
Con questa soluzione c'è però un problema... il router/firewall unix non 
sa quale è il suo ip pubblico, perché di fatto l'ip assegnato alla sua 
interfaccia è un ip privato, sottoposto a nat... non è un grave problema 
perché quasi tutti i programmi che utilizzano porte in ingresso, come 
giochi, client irc, e programmi di p2p sono in grado di ottenere il loro 
ip dall'esterno (e cmq i pc sulla lan sono sottoposti a doppio NAT, e 
dovrebbero comunque scoprire il loro ip pubblico in qualche modo)

una soluzione comunque molto più pratica secondo me è disabilitare del 
tutto le funzioni di routing del router ADSL... quasi tutti i router 
ADSL fanno anche da _modem_ ADSL se li piloti tramite PPPoE (protocollo 
PPP over Ethernet)... è necessario che il tuo provider però supporti 
PPPoE...
Devi innanzitutto dire al router di non connettersi ad internet... se lo 
resetti ai parametri di fabbrica va bene... in questo tipo di 
configurazione non è necessario neanche attribuire un ip al router adsl, 
visto che non userai alcuna delle sue funzioni (se gli attribuisci un ip 
poco male... non cambia nulla, basta che non si colleghi 
automaticamente)... istalli sul router unix rp-pppoe (roaring penguin), 
che funziona sia su linux che sui BSD (in realtà fa tutto in user 
space....), dai adsl-config, ti fa un paio di domande, ti chiede che 
tipo di nat vuoi fare (per una prima impostazione delle regole di 
firewalling, poi te le aggiusti tu...), e da ora in poi con adsl-start 
apri la connessione, con adsl-stop la chiudi....

i vantaggi di fare questa cosa sono molti... il router-firewall unix ha 
una interfaccia, la ppp0, su internet che ha effettivamente il tuo IP 
pubblico... non viene tutto nattato 2 volte ed hai la possibilità di 
ispezionare tutti i pacchetti visto che nulla viene filtrato su ppp0 
(i.e. pacchetti malformati etc)... se il router adsl potrebbe avere 
problemi (anche dovuti alla poca potenza del processore) nel gestire dei 
tentativi di ddos, oppure un gran numero di connessioni, il router unix 
non dovrebbe averne se non è uno dei primi 486...
tutto questo lo puoi fare anche con una unica scheda di rete sul router 
unix... appizzi tutto in uno switch ethernet e sei apposto... se lo fai 
con due schede di rete non è necessario attribuire alcun ip alla scheda 
dedicata al collegamento con il modem...

facci sapere se va.. io cmq sn più propenso per la seconda soluzione

un paio di link....
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/pppoe.html
http://www.roaringpenguin.com/pppoe/

**********

-- 
NullPointer  ||  GnuPG/PGP Key-Id: 0x343B22E6 on keyserver.linux.it

Not that I have anything much against redundancy.
    But I said that already.		        -- Larry Wall

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  252 bytes
Descrizione: OpenPGP digital signature
Url:         /pipermail/nalug_shaney.org/attachments/20050204/7d383b7a/signature.bin

Maggiori informazioni sulla lista NaLug