Entra

View Full Version : Muletto dedicato al Proxing: cosa mi occorre?


Matrixbob
27-10-2009, 11:11
Mi interesserebbe rendere un muletto una macchian dedicata al proxing che registra ogni indirizzo IP della LAN dove vuole andare in WAN.
E' possibile?
Magari con SW dedicati come Untangle?
http://www.untangle.com/

Che dite?
TNX a chi risponde.

[EDIT]
Post significativo #23 (http://www.hwupgrade.it/forum/showpost.php?p=29558797&postcount=23)

Matrixbob
28-10-2009, 08:45
UP!

hibone
28-10-2009, 09:05
UP!

la risposta più corretta è NI per una serie di svariate ragioni, prima fra tutte il fatto che il muletto dovrebbe essere attraversato dal flusso di dati, quindi dovrebbe avere una scheda in ingresso e una in uscita, inoltre vedrebbe, almeno sulle prime, tutti pacchetti tra il router e la wan, dato che la lan sta dietro il router, che maschera gli specifici indirizzi dei pc, probabilmente non riesci a loggare chi ha spedito cosa...

In altri termini ti ci vorrebbe che il muletto sia tra il router e la lan, quindi dovresti interporre uno switch. In questo caso le cose andrebbero meglio ma non beccheresti tutto il traffico interno alla LAN.

Per questo il più delle volte si utilizzano router con una porta di logging che fornisce una replica di tutto il traffico che attraversa il router e permette di registrare, tramite una porta di rete ad hoc, tutto il registrabile...

Poi chiaramente quali siano le prestazioni di un pc non saprei...
Ma in genere il muletto da solo potrebbe non bastare.

Matrixbob
28-10-2009, 11:55
Io pensavo al rendere indipendente dalla infrastruttura del commisionante lavari tutta la questione e quindi ho pensato una soluzione del genre:

http://img24.imageshack.us/img24/2600/middlepc.gif

nuovoUtente86
28-10-2009, 12:17
In linea generale le soluzioni sono 2

1: mettere fisicamente un Hub tra l' ingresso (lato lan)del router e il proxy, avendo su questo nic e driver che supportino la modalità promiscua.
2:settare semplicemente il proxy come gateway, assicurandosi che i client non possano modificare tale parametro.

hibone
28-10-2009, 12:22
Io pensavo al rendere indipendente dalla infrastruttura del commisionante lavari tutta la questione e quindi ho pensato una soluzione del genre:

http://img24.imageshack.us/img24/2600/middlepc.gif

infatti è quello che devi fare, ma il pc locale lo devi configurare come gateway... una scheda di rete è connessa al router e l'altra è connessa
allo switch...

poi sta a te decidere se realizzare il gateway come device trasparente, in modo che si copi e si legga tutti i pacchetti che passano senza interferire con l'attività del router, o se piuttosto utilizzarlo per il routing e la selezione dei pacchetti bloccando il traffico indesiderato.

In quel caso il router vero e proprio può operare come modem ethernet, mentre sul pc pui, effettivamente , utilizzare untangled.

l'unico neo è dato dal traffico della rete, che può risentire della lentezza del muletto.

per quello dicevo che, se la rete è grande, era preferibile un router con la porta per il logger: in questo modo il router si occupa delle sue cose e il muletto registra tutto il traffico.

Matrixbob
31-10-2009, 21:04
1: mettere fisicamente un Hub tra l' ingresso (lato lan)del router e il proxy, avendo su questo nic e driver che supportino la modalità promiscua.

Cioè?
Dove per proxy intendi quello che io chiamo middlePC (il fantomatico muletto :))?
Non riesci a fare un disegnino se ho travisato?

2: settare semplicemente il proxy come gateway, assicurandosi che i client non possano modificare tale parametro.
Cioè limitare il router a fare da MoDem ADSL e impostare un sistema di routing sull middlePC?
Cosa uso per fare routing?
Mi serve anche qualcosa che faccia DNS, ARP, RARP assieme?

Tra l'altro voi cosa intendete per:

proxy
gateway
proxy come gateway

?

Matrixbob
31-10-2009, 21:17
Io pensavo al rendere indipendente dalla infrastruttura del commisionante lavari tutta la questione e quindi ho pensato una soluzione del genre:

http://img24.imageshack.us/img24/2600/middlepc.gif

Quindi lo schema diventa questo ora?

http://img340.imageshack.us/img340/8700/middlepc2.gif

Matrixbob
31-10-2009, 21:31
poi sta a te decidere se realizzare il gateway come device trasparente, in modo che si copi e si legga tutti i pacchetti che passano senza interferire con l'attività del router, o se piuttosto utilizzarlo per il routing e la selezione dei pacchetti bloccando il traffico indesiderato.

Si meglio trasparente che spii. ;)


In quel caso il router vero e proprio può operare come modem ethernet, mentre sul pc pui, effettivamente , utilizzare untangled.

Untagled è facilmente configurabile?


l'unico neo è dato dal traffico della rete, che può risentire della lentezza del muletto.

Ok, può anche essere un super PC, tanto glielo faccio pagare al commissionante. :)


per quello dicevo che, se la rete è grande, era preferibile un router con la porta per il logger: in questo modo il router si occupa delle sue cose e il muletto registra tutto il traffico.
Ma voglio renderlo indipendente dalla infrastruttura del commissionante, in sostanza vorrei portare il mio bel PC gateway piazzarlo configurarlo e chi si è visto si è visto! :D

hibone
01-11-2009, 00:57
Untagled è facilmente configurabile?

non ne ho idea...
dovrebbe essere la classica distro ottimizzata per operare come router, però non ho idea degli strumenti che integri...

ti conviene provare a vedere che strumenti mette a disposizione...
per approfondire puoi partire da qui ed esaminare i diversi software...
http://en.wikipedia.org/wiki/Stateful_firewall

Ok, può anche essere un super PC, tanto glielo faccio pagare al commissionante. :)

il discorso che facevo è che i dispositivi ad hoc sono in genere ottimizzati per quel tipo di lavoro e quindi un pc, può non reggere il confronto... :D

Ma voglio renderlo indipendente dalla infrastruttura del commissionante, in sostanza vorrei portare il mio bel PC gateway piazzarlo configurarlo e chi si è visto si è visto! :D

avrai comunque il tuo bel da fare :D in bocca al lupo...

Matrixbob
02-11-2009, 11:39
OK, procedo. Intanto elenco un po' di link anche per chi sarà interessato in futuro:
http://distrowatch.com/table.php?distribution=untangle
http://en.wikipedia.org/wiki/Untangle
http://en.wikipedia.org/wiki/Category:Free_routing_software
http://en.wikipedia.org/wiki/Category:Gateway/routing/firewall_distribution
Pare esistere anche una applicazione per Windows:
http://www.untangle.com/Re-router-Technology

Gregor
02-11-2009, 11:45
Scusate ma il buon IPCop (http://www.ipcop.org/) non può bastare?

Matrixbob
02-11-2009, 12:05
Scusate ma il buon IPCop (http://www.ipcop.org/) non può bastare?
Io non lo conoscevo, sembra una distribuzione linux limitata al rendere la macchina in cui è installata un firewall?
http://it.wikipedia.org/wiki/IpCop
http://en.wikipedia.org/wiki/Ipcop

A prima vista sembra un Untagle strozzato.

Tu Nash lo hai gia usato/configurato al mio scopo?

slowped
02-11-2009, 12:21
A prima vista sembra un Untagle strozzato.


Che però risponde pienamente alla tua specifica del problema che hai fornito nel tuo primo post:

Mi interesserebbe rendere un muletto una macchian dedicata al proxing che registra ogni indirizzo IP della LAN dove vuole andare in WAN.

Untagle fa molto di più (Anti-spam, Web Content Filtering, Antivirus, Anti-phishing, Anti-spyware, Intrusion prevention, Firewall, OpenVPN, SSL VPN). Queste funzionalità aggiuntive però

a) vanno altre ciò che tu hai dichiarato essere lo scopo cui è destinato il tuo "Middle PC";

b) richiedono, a mio giudizio, un fine tuning della configurazione e un certo aggiornamento periodico che contrasta con la tua volontà di

renderlo indipendente dalla infrastruttura del commissionante, in sostanza vorrei portare il mio bel PC gateway piazzarlo configurarlo e chi si è visto si è visto! :D

Gregor
02-11-2009, 13:21
Tu Nash lo hai gia usato/configurato al mio scopo?
Al tuo scopo no, ma come firewal hardware sì, anche se una volta configurato non è mai entrato in "produzione" con mio sommo dispiacere.... Semplice da installare, configurare e personalizzare in base alle proprie esigenze.

Matrixbob
02-11-2009, 14:08
Provo a vedere se riesco a fare una macchina virtuale VirtualBox con uno di questi 2 distribuzioni sopra. :sperem:
Ammesso che VirtualBox permetta di virtualizzare 2 schede di rete... :tie:

Di IpCop scarico la "ipcop-1.9.8-install-cd.i486.iso (http://sourceforge.net/projects/ipcop/files/)".

Matrixbob
02-11-2009, 17:43
Incomincimo male: Untagle su Win32


Untangle for Windows says No Network Cards Detected. Why?
During installation Untangle for Windows attempts to detect a usable network card to use to filter your network. It does this by looking for the string "Local Area Connection" in Control Panel -> Network Connections. If you have renamed your network card to another name simply rename it back to "Local Area Connection."

Note: Untangle does not currently support installations on non-English Microsoft Operating Systems.

http://img509.imageshack.us/img509/7651/screenhunter01nov021841.jpg

Cioè ha problemi di lingua? :stordita:

Matrixbob
02-11-2009, 17:53
Ok nella macchina virtule ho rinominato una scheda di rete in "Local Area Connection".
CMQ richiede 512MB di RAM libera ... la mia VM ne ha 512 in totale! :D

slowped
02-11-2009, 17:58
Ok nella macchina virtule ho rinominato una scheda di rete in "Local Area Connection".
CMQ richiede 512MB di RAM libera ... la mia VM ne ha 512 in totale! :D

Scusa ma i requirement di sistema li avevi letti??

http://wiki.untangle.com/index.php/Quick_Install_Guide:_Untangle_for_Windows#Windows_Platforms

Si dice chiaramente che sono necessari 2GB di RAM.

Matrixbob
02-11-2009, 18:03
Scusa ma i requirement di sistema li avevi letti??

http://wiki.untangle.com/index.php/Quick_Install_Guide:_Untangle_for_Windows#Windows_Platforms

Si dice chiaramente che sono necessari 2GB di RAM.
Minimo mi ha chiesto 512, CMQ è una installazione di prova su macchina virtuale, niente di che. :)

slowped
02-11-2009, 18:13
Minimo mi ha chiesto 512, CMQ è una installazione di prova su macchina virtuale, niente di che. :)

Comunque, ho dato un'occhiata alla documentazione: a me non piace il modo in cui lavora. Inoltre, non funziona in reti in cui ci sono quelli che definiscono loro "smart switches" (tra cui i diffusissimi HP ProCurve). Io personalmente un prodotto del genere non lo prenderei in considerazione. Ma è solo, ovviamente, una mia personalissima opinione.

Matrixbob
02-11-2009, 18:19
Comunque, ho dato un'occhiata alla documentazione: a me non piace il modo in cui lavora. Inoltre, non funziona in reti in cui ci sono quelli che definiscono loro "smart switches" (tra cui i diffusissimi HP ProCurve). Io personalmente un prodotto del genere non lo prenderei in considerazione. Ma è solo, ovviamente, una mia personalissima opinione.
Qui i dadi non son tratti, sto provando questo SW tutto lì.
Cosa prenderesti in considerazione tu?

Matrixbob
04-11-2009, 20:22
>> List of router or firewall distributions << (http://en.wikipedia.org/wiki/List_of_router_or_firewall_distributions)
>> List of open source routing platforms << (http://en.wikipedia.org/wiki/List_of_open_source_routing_platforms)
>> List of content-control software << (http://en.wikipedia.org/wiki/List_of_content-control_software)
>> Comparison of firewalls << (http://en.wikipedia.org/wiki/Comparison_of_firewalls)

Continuo il 3D per illustrare +/- cosa ho scoperto...

In sostanza, dopo qualche consulta e un po' d'investigazione, mi si sono presentate 3 vie:

Facile: (Freebsd) M0n0wall (http://en.wikipedia.org/wiki/M0n0wall)/Pfsense (http://en.wikipedia.org/wiki/Pfsense), (Redhat) Smoothwall (http://en.wikipedia.org/wiki/SmoothWall)/Ipcop (http://en.wikipedia.org/wiki/IPCop)/Endian (http://en.wikipedia.org/wiki/Endian_Firewall) e (Debian) Zeroshell (http://en.wikipedia.org/wiki/Zeroshell) server
Intermedia: (Debian) Untangle (http://en.wikipedia.org/wiki/Untangle) server
Difficile: Linux Debian/Ubuntu server (almeno per chi come me è un Linux user e NON administrator di rete o sistemista, ma ha un sufficiente teoria di networking)


Facile
work in progress

Difficile

installazione minimale di Debian/Ubuntu server stabile;
in cui configurare la Ipchains (http://en.wikipedia.org/wiki/Ipchains) di Iptables (http://en.wikipedia.org/wiki/Iptables) (che non so ancora cosa siano :) ma suppongo s'intenda le regole di comportamento del firewall) in modo da implementare il "gatewaing" (configurare poi la rete con comandi come per esempio "route add default gw eth1 eth0", dove possiamo avere eth0 = 192.168.1.4 e eth1 = 10.0.0.3);
aggiungere il proxy Squid;
aggiungere il filtro dei contenuto Dansguardian;
aggiungere il reporter di statistiche Sarg;
aggiungere DNS e DHCP server.


Intermedia
Ho provato l'Untangle (NON x Windows) su macchia virtuale e l'ho trovato davvero impressionante.
Magari sotto sotto è 'na cacca, ma a primo acchito m'è piaciuto!

Attualmente il Wizard ti propone 2 scelte di cui io ho preso la prima:

http://img24.imageshack.us/img24/1041/sceltak.jpg

, peccato che adesso ho dei problemi di configurazione della rete :(

hibone
05-11-2009, 00:24
Continuo il 3D per illustrare +/- cosa ho scoperto...

mi spiace di non esserti di troppo aiuto, ma purtroppo ho abbandonato il mondo linux "tanti anni fa" per cui in termini di reti e os sono piuttosto arrugginito, per cui mi posso limitare solo a considerazioni di carattere generale e teorico per lo più...

la prima cosa che posso dirti è che, per fortuna, nel mondo *nix la portabilità è una realtà effettiva, per questo ad esempio, non credo improbabile installare monowall su linux... Allo stesso modo non ritengo così improbabile installare uno specifico applicativo su una specifica piattaforma, senza farti condizionare dai pacchetti preconfigurati...

per questo dovresti cercare la piattaforma che ti è più congeniale e che conosci meglio, sia essa bsd o linux...

esempio:
nel caso ti interessi un gateway che sia praticamente fort knox puoi passare per openbsd,
http://www.openbsd.org/it/index.html

ma visto che sei dietro un firewall questa necessità magari può non essere pressante...
inoltre se unix lo mastichi poco, e sei più familiare con linux, buttati direttamente verso la distribuzione che preferisci, almeno ti risparmi lo sbatti e la frustrazione di rinfrescare nix...

certo in qualche caso ci sarà la rottura di scatole di installare tutto li, ma una volta fatto questo ti crei un'immagine del disco e via...

per quanto riguarda la migliore distribuzione la risposta è una: quella che sei abituato ad usare. l'unica eccezione, forse, se sei molto incline all'interfaccia a carattere, è probabilmente la slackware...

per i software chiaramente non sono assolutamente aggiornato, ti dico solo che quando ho iniziato ad disinteressarmi ipchains iniziava ad affermarsi... :D

quindi posso solo suggerirti di cercare siti a tema e di andare a vedere le vecchie repositories e soprattutto di controllare sulle riviste a tema tipo linux & C, se è rimasta di buon livello, qualche considerazione sui software disponibili...

puoi controllare se riesci a trovare la pappa pronta ( distro preconfigurate ) ma di solito non mi fiderei gran che... meglio una distro base col solo materiale che serve, meno pastoie e maggiore funzionalità...

per il resto tieni conto che sul pc in oggetto potresti inserire dei software di gestione della rete per verificare se qualcuno dei pc è stato infettato da virus worm o quant'altro..

ai tempi di back orifice e netbus mi pare era disponibile satan ( o santa a seconda di come veniva anagrammato )

anche un accesso remoto potrebbe tornare utile per loggarti e gestire il gateway senza andare fisicamente sul posto...

per il resto vedo che di software ne hai già trovati, se vai per la strada difficile ti conviene capire come creare delle immagini di back-up in modo da salvare il lavoro... se per caso ti capita qualche disastro quantomeno non devi partire da zero...

Gregor
05-11-2009, 08:15
In sostanza, dopo qualche consulta e un po' d'investigazione, mi si sono presentate 3 vie:

Puoi spiegare perchè hai "bocciato" IPCop?

slowped
05-11-2009, 08:41
Puoi spiegare perchè hai "bocciato" IPCop?

Probabilmente perché la proposta è venuta da uno di quegli utenti che ha definito

piuttosto superficiali, sentenziali e sbrigativi nel riportare le loro soluzioni.

Matrixbob
05-11-2009, 10:33
Probabilmente perché la proposta è venuta da uno di quegli utenti che ha definito
Ma no, non ho ancora avuto il tempo, ho fatto ieri sera le prime prove. Tutto lì, infatti erano avanzamenti temporanei i miei riportati. Solo bozze. Scusate se qualcuno si è sentito in qualche modo offeso, non era mia intenzione.

Gregor
05-11-2009, 20:11
Probabilmente perché la proposta è venuta da uno di quegli utenti che ha definito
Scusa cosa avrei dovuto fare?
Non ho esperienza con IPCop, ma da quel poco che ho avuto modo di capire mi son sentito di segnalarlo.
Ovviamente sta a lui provare e vedere se fa al caso suo o no.

Matrixbob
24-11-2009, 00:26
Scusa cosa avrei dovuto fare?
Non ho esperienza con IPCop, ma da quel poco che ho avuto modo di capire mi son sentito di segnalarlo.
Ovviamente sta a lui provare e vedere se fa al caso suo o no.
Per ora, senza averne letto i manuali, ,di Zeroshell e Ipcop c'ho capito na mazza :D

:boh:

http://img687.imageshack.us/img687/1510/0shell.jpg

Matrixbob
19-01-2010, 10:51
UP,
ritorno sull'argomento he avevo lasciato assopito per motivi di lavoro (perchè di lavoro non faccio queste cose).

gnappoman
03-01-2011, 13:36
Rispondo per gli altri che come me hanno trovato questa discussione avendo lo stesso problema esposto al post 1...
Ho trovato zeroshell , semplicissimo e fa tutto quello che un proxy deve fare.
Praticamente fa da transparent proxy. Tu lo imposti sulla scheda di rete come gateway e lui prende tutto il traffico, lo filtra con l'antivirus e il firewall e poi manda tutto verso il web. Lo fa all'andata e al ritorno. Tutto configurabile con pochi click. Oltretutto l'autore è italiano e se hai un problema basta che scrivi nel forum : AIUTOOOOOO e qualcuno ti aiuta:p