PDA

View Full Version : Implementazione di un firewall fisico con doppia scheda di rete


nightfly
30-04-2008, 18:42
Salve a tutti. Recentemente ho provato ad installare nella mia LAN un piccolo firewall fisico, basato su una linux box con doppia scheda di rete. Il problema, però, si presenta subito dopo aver configurato gli IP delle due schede in questione. In particolare, alla prima NIC, a cui è collegato il Router (di indirizzo 10.1.1.1) ho dato come indirizzo 10.1.1.5 e alla seconda (collegata allo switch) ho dato indirizzo 10.1.1.4. L'idea è che il traffico proveniente da internet passi prima dal router, giunga nella scheda con indirizzo 10.1.1.5, venga sottoposto al controllo del firewall (iptables) e successivamente inoltrato all'interfaccia con indirizzo 10.1.1.4. Quindi la scheda eth1 (10.1.1.5) può essere considerata come scheda "esterna" mentre la scheda eth0 rappresenta la scheda "interna". Per maggior chiarezza ecco un piccolo schemino che mostra la topologia della mia rete:

Internet -> Router -> Scheda "esterna" e "Scheda interna" -> switch -> host della LAN.

Ebbene, con entrambe le interfacce abilitate, pingo il router e quest'ultimo risponde senza problemi. Se invece pingo un host della rete interna, l'output è "host unreachable". Viceversa, disabilitando la scheda collegata al router, riesco a pingare senza problemi gli host della LAN.
I gateway impostati sono i seguenti:

10.1.1.1 per la scheda esterna
10.1.1.5 per la scheda interna

Non è un problema di DNS poichè li ho impostati correttamente. Credo comunque sia un problema di rotte. Se qualcuno riuscisse a darmi una mano gliene sarai veramente grato :)

Devil!
30-04-2008, 22:01
Innanzitutto non è corretta l'assegnazione degli indirizzi: solitamente interfaccia Internet e interfaccia Lan sono su due sottoreti differenti e la condivisione della connessione avviene tramite la funzione masquerade di Iptables.
Inoltre l'interfaccia Lan non deve essere provvista di gateway e DNS.

Es:
**Firewall**
Interfaccia Internet

IP: 10.1.1.5
SUBNET: 255.255.255.0
GATEWAY: 10.1.1.1
DNS: 10.1.1.1 (o quelli del provider)

Interfaccia Lan
IP: 10.1.2.1
SUBNET: 255.255.255.0

**Client connessi allo switch**
Interfaccia Lan
IP: 10.1.2.x
SUBNET: 255.255.255.0
GATEWAY: 10.1.2.1
DNS: 10.1.2.1 o 10.1.1.1 (o quelli del provider)

Ovviamente tutto questo vale nell'ipotesi che tu voglia far funzionare il firewall come gateway con funzioni di NAT e non come bridge di rete.