Dmz, lan, wan costruzione firewall [Archivio]

View Full Version : Dmz, lan, wan costruzione firewall

globalace

27-10-2007, 22:11

Mi sto esercitando con configurazioni di reti, vlan firewall ecc.
Ho creato una rete con una lan una dmz e una wan.
la wan ha ip 10.0.0.0/8
la dmz 192.168.17.0/24
la lan 192.168.18.0/24

ho inserito nella dmz un firewall con 3 interfacce e con ip:
interfaccia lan 192.168.18.254
interfaccia dmz 192.168.17.254
interfaccia wan 10.0.0.254 connessa all'interfaccia router 10.0.0.1

il firewall è stato implementato con iptables 1.3.5.
Una volta configurate le vlan sullo switch (correttamente sono state verificate), una volta impostati gli ip e le subnet mask su ogni interfaccia del router, vorrei sapere:
1) quale indirizzo devo dare alle 3 interfacce del firewall come gateway;
2) devo settare qualche altra impostazione all'interno di linux?esempio nat o altro(se si come e cosa)?

Chiedo aiuto sono alle prime armi

WebWolf

28-10-2007, 08:10

Potresti fare uno schema della rete ?

Non ho ben capito 'ho inserito nella dmz un firewall...'

Di solito è il firewall che splitta le 3 reti. Se poi vuoi ulteriormente aggiungere un altro firewall alla sola dmz devi assegnare da una parte l'ip della dmz e dall'altra un altro ip ed abilitare il forward tra le due nic.

Io o trovo ridondante e uno spreco di soldi ;)

Lo schema classico è il seguente:

dmz (orange)
|
Firewall box ---- Wan (red) --- ISP
|
lan (green)

E lo policy di sicurezza si settano sul firewall. Di solito sono:

- tutto il traffico può uscire sulla red.
- nessun traffico può entrare nella green.
- tutto il traffico dalla green può andare alla orange.
- dalla red solo il traffico 80/25/103 (siti e posta) può andare alla orange.

Poi se si hanno servizi particolari occorre settare le catene di conseguenza.

HexDEF6

28-10-2007, 13:50

dai un'occhiata all'howto in firma :D
poi se ti serve altro chiedi

Mr.Bano

28-10-2007, 16:15

Piuttosto di un firewall in DMZ dovresti ragionare come se ogni pc/server fosse firewall di se stesso casomai.

Se poi (come mi sembra) stai cercando una protezione forte e se hai risorse (e traffico a go-go) potresti fare tipo:

internet
|
firewall
|
switch DMZ -- server
|
firewall
|
lan

Ma forse è giusto un po' esagerata questa :D

Comunque sia, giusto per risponderti, se almeno ho capito (che non sono poi nemmeno tanto sicuro):

lan -> 10.0.0.254
dmz -> 10.0.0.1
wan -> 10.0.0.1

@HexDEF6: Ma che bella guida hai realizzato, complimenti! ^^