Dopo aver lottato con l'installazione delle schede wi-fi adesso avrei bisogno di una mano per configurare correttamente la rete di casa.
Al momento ecco la situazione esistente e funzionante:
- Modem ADSL collegato ad internet, IP fisso
IP 10.0.0.2
Netmask 255.255.255.0
- Computer 1 collegato al modem ed a Computer 2 tramite due interfacce di rete rispettivamente eth1 ed eth0
# ifconfig
eth0 Link encap:Ethernet HWaddr 4c:00:10:51:01:52
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::4e00:10ff:fe51:152/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:454820 errors:0 dropped:0 overruns:0 frame:0
TX packets:338224 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:452074186 (431.1 MiB) TX bytes:114227928 (108.9 MiB)
Interrupt:17 Base address:0xe000

eth1 Link encap:Ethernet HWaddr 00:50:8d:9f:5c:38
inet addr:10.0.0.3 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::250:8dff:fe9f:5c38/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42838615 errors:0 dropped:0 overruns:0 frame:0
TX packets:35679401 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:34265443060 (31.9 GiB) TX bytes:7918310073 (7.3 GiB)
Interrupt:32 Base address:0xa000

lo .....

- Computer 2 collegato a Computer 1 e con accesso ad internet

IP 192.168.0.2
Netmask 255.255.255.0
tramite il comando (che spero sia corretto)
# iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -j MASQUERADE -p all -o eth1 && echo 1 > /proc/sys/net/ipv4/ip_forward

Ecco uno schemino per esemplificare la situazione:
https://lh3.googleusercontent.com/-itbaTz2TTX0/TtkBMJS9cyI/AAAAAAAAAPg/8mkWFbeGmJ4/s144/01.png (https://picasaweb.google.com/lh/photo/KiJ5tMx_euXJ2BjX8CLmltMTjNZETYmyPJy0liipFm0?feat=embedwebsite)

Cio' che vorrei fare e' condividere da PC1 la connessione internet verso altri computer tramite wi-fi.
Ho dotato quindi di apposita scheda PC1
# ifconfig ra0 up
# ifconfig
eth0 Link encap:Ethernet HWaddr 4c:00:10:51:01:52
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::4e00:10ff:fe51:152/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:455168 errors:0 dropped:0 overruns:0 frame:0
TX packets:338429 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:452132495 (431.1 MiB) TX bytes:114265410 (108.9 MiB)
Interrupt:17 Base address:0xe000

eth1 Link encap:Ethernet HWaddr 00:50:8d:9f:5c:38
inet addr:10.0.0.3 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::250:8dff:fe9f:5c38/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42965821 errors:0 dropped:0 overruns:0 frame:0
TX packets:35785636 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:34353546419 (31.9 GiB) TX bytes:7948315351 (7.4 GiB)
Interrupt:32 Base address:0xa000

lo ....

ra0 Link encap:Ethernet HWaddr f0:7d:68:74:07:98
inet addr:192.168.0.3 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::f27d:68ff:fe74:798/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10023 (9.7 KiB) TX bytes:18336 (17.9 KiB)


# iwconfig
lo no wireless extensions.

eth0 no wireless extensions.

eth1 no wireless extensions.

ra0 Ralink STA ESSID:"11n-AP" Nickname:"RT2870STA"
Mode:Auto Frequency=2.412 GHz Access Point: Not-Associated
Bit Rate:1 Mb/s
RTS thr:off Fragment thr:off
Encryption key:off
Link Quality=70/100 Signal level:0 dBm Noise level:0 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Adesso come proseguo? Devo configurare una rete ad-hoc tra PC1 e PC3?
https://lh3.googleusercontent.com/-0ut-zTat2_c/TtkBMB9pZrI/AAAAAAAAAPo/3CmOX3ZZcv4/s144/02.png (https://picasaweb.google.com/lh/photo/ZL4vESGybfkBfB_ZawrXitMTjNZETYmyPJy0liipFm0?feat=embedwebsite)

Personalmente preferisco questa regola per il natting:echo 1 > /proc/sys/net/ipv4/ip_forward #solitamente si esegue prima...
EXTERNAL_INTERFACE="eth1"
EXTERNAL_IP=`/sbin/ifconfig $EXTERNAL_INTERFACE | sed '/inet\ /!d;s/.*r://g;s/\ .*//g'`
iptables -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE -j SNAT --to $EXTERNAL_IPCome puoi vedere i parametri di impostazione sono diversi nella specificazione dell'indirizzo: non si deve specificare qual'è la rete da mascherare ma qual'è l'indirizzo sorgente dei pacchetti da modificare. Questa condizione è più semplice da processare.

La mia scelta è stata influenzata da questo stralcio del man iptables:
MASQUERADE
This target is only valid in the nat table, in the POSTROUTING chain.
It should only be used with dynamically assigned IP (dialup)
connections: if you have a static IP address, you should use the
SNAT target.Ti ricordo che possibile abilitare definitivamente /proc/sys/net/ipv4/ip_forward in /etc/sysctl.conf (vedi verso la metà del file):# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
Passando al wireless, ricordo di aver utilizzato una configurazione praticamente identica: come hai scritto dovresti poter chiudere con una ad-hoc tra le due interfacce wireless.

Breve guida ArchLinux sull'argomento (ho scelto questa perché la parte client è completa e priva di divagazioni). (https://wiki.archlinux.org/index.php/Ad-hoc_networking)

P.S. se le policy delle catene iptables non sono le standard ACCEPT (vedi iptables -v -nL) occorrono regole aggiuntive per permettere ai pacchetti di attraversare la macchina (in FORWARD), per permettere l'ingresso (in INPUT) e l'uscita (in OUTPUT).

La riga per iptables sarebbe piu' corretta con:
# iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to 10.0.0.3
L'ip forwarding instanziato ogni volta e' un abominio: setta /etc/sysctl.conf :
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Prova a dare alla scheda wifi del gw ra0 l'ip 192.168.0.254, e usare questo IP come default gw dei due client conessi tramite wifi. Questi client devono stare sulla stessa rete 192.168.0.0/24 .

Ok, grazie ad entrambi procedero' passo-passo, innanzitutto vedendo di configurare la rete ad-hoc e poi passero' alla condivisione.
Purtroppo non sono un esperto di reti, pero' la buona volonta' c'e' quindi sicuramente le domande non le ho ancora esaurite :D .

Edit: senza contare che dovro' anche modificare la configurazione del firewall su PC1, dato che il modem e' un Pirelli Telecom completamente inaccessibile :mc: . Comunque una cosa alla volta.

Come prima cosa ho pero' deciso di fare un po' di ordine con gli indirizzi IP e quindi ho assegnato al router:
IP 10.0.0.1
Netmask 255.255.255.0
e ad eth1 su PC1:
IP 10.0.0.2
Netmask 255.255.255.0
Gateway 10.0.0.1
Poi ho abilitato tramite l'interfaccia del router il NAT verso l'IP 10.0.0.2.
Adesso vorrei configurare eth0 su PC1 ed eth0 su PC2 e qui ho gia' dei dubbi:
- l'IP puo' essere dello stesso tipo del router? ad es. 10.0.0.3 ecc.?
- la netmask dev'essere per forza uguale a quella del router (255.255.255.0)?

Nel frattempo come suggerito ho abilitato permanentemente l'IP_forwarding editando il file /etc/sysctl.conf:
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
Poi mi ci e' voluto un buon quarto d'ora per capire che i due comandi per il nat di eaman e gimli sono praticamente uguali :sofico: e quindi metterli in pratica:
# iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to 10.0.0.2

Personalmente, una volta determinato l'elemento che può essere definito il centro della rete locale (nel tuo caso direi il PC1 con le 2 ethx ed il wireless) assegno una sotto-rete diversa ad ogni scheda di rete dandole un nome significativo.

Esempio concreto:gimli@phoenix:~$ cat /etc/networks
default 0.0.0.0
loopback 127.0.0.0
link-local 169.254.0.0
phoenix-net-a 192.168.0.0
phoenix-net-b 192.168.1.0
modem-net 10.0.0.0
gimli@phoenix:~$ cat /etc/hosts
127.0.0.1 localhost

10.0.0.1 modem
10.0.0.2 phoenix
192.168.0.1 phoenix
192.168.0.2 acubens
192.168.1.1 phoenix
192.168.1.2 altarfEsempio IP e maschere relativo ai dati precedenti.
Per farti un esempio di maschera molto stretta ho ridotto notevolmente la sotto-rete 10.0.0.x, cosa che avevo anni fa ma poi avevo riportato a valori comuni, quindi non sono valori che ho in uso ma credo di averli scritti correttamente.eth0 inet addr:10.0.0.2 Bcast:10.0.0.7 Mask:255.255.255.248
eth1 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
eth2 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0Altro esempio con sotto-reti più piccole che potrebbe funzionare bene (sempre a scanso di errori stupidi, visto che di solito non smezzo così le reti...):
eth0 inet addr:10.0.0.2 Bcast:10.0.0.7 Mask:255.255.255.248
eth1 inet addr:192.168.0.129 Bcast:192.168.0.255 Mask:255.255.255.128
eth2 inet addr:192.168.0.1 Bcast:192.168.0.127 Mask:255.255.255.128

Ok, credo di aver capito, quindi qualcosa del genere sarebbe corretto?
https://lh4.googleusercontent.com/-6voXwrNa46M/Tto9i1YqabI/AAAAAAAAAPs/n5SExMyLk6Q/s144/03.png (https://picasaweb.google.com/lh/photo/QiI-4Y-YsCCJI1PpAt8bIdMTjNZETYmyPJy0liipFm0?feat=embedwebsite)

Nel frattempo sono riuscito a creare la rete ad-hoc tra PC1 e PC3 ed a pingare le due schede di rete 192.168.1.1 e 192.168.1.2.
Adesso dovrei usare un comando di nat simile a quello precedente:
# iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth1 -j SNAT --to 10.0.0.2

Il tuo schema mi sembra corretto. Nei PC2 e 3 dove non hai specificato il gateway dovrai impostare l'indirizzo della relativa interfaccia del PC1.

Anche la regola per la seconda rete mi sembra ok.

Ed infatti funziona :cool: .

Schema finale:
https://lh5.googleusercontent.com/-g5jb0gvUfGw/TtpRTvVYW6I/AAAAAAAAAP4/8BkDx7MiGf8/s144/04.png (https://picasaweb.google.com/lh/photo/DzSdz1CgoNKTpvA-JQCjZtMTjNZETYmyPJy0liipFm0?feat=embedwebsite)

PS: si' mi sono scordato di dire che avevo gia' impostato i relativi gateway. Una curiosita': l'indirizzo del server DNS e' indispensabile specificarlo per PC2 e PC3? Io per sicurezza l'ho inserito.

I due comandi per il nat per renderli attivi ad ogni avvio dove li posso inserire?

Se funziona e sei felice siamo a posto e non complichiamoci la vita.
Se pero' vuoi continuare a spippolare col networking io farei, tanto per impegnare un giorno di pioggia:

- Su PC1 impostare gli ultimi ottetti degli IP IP di eth0 e ra0 su 254: e' abitudine tenere i GW con IP 254 se usi una maschera di rete /24 (perche' potresti pure ridurla se piovesse anche domani...)

- Rinominare le schede di rete: eth0 e ra0 sono poco significativi e soggetti a cambiamenti: guarda come funziona il comando ifrename e imposta dei nomi sensati es lan e wifi per le due schede.

Ma quindi tu non hai un access point? Hai stabilito una connessione dirette tra le due schede wireless?

Grazie dei suggerimenti eaman vedro' di conservarli per un giorno di mooolta pioggia :D adesso tutto sembra funzionare e per ora mi basta.

Esatto, non ho un access-point, bensi' ho il disco della morte Pirelli, uno dei primi di quelli ancora con la smart-card inserita di traverso (avra' ormai i suoi bei 10 anni).

Inoltre prima di spippolare ulteriormente dovrei ancora:
- capire dove inserire i due comandi nat per renderli attivi ad ogni avvio
- capire dove inserire il comando iwconfig per la configurazione della scheda wireless per renderlo attivo ad ogni avvio
- aggiungere un po' di sicurezza sul collegamento wi-fi magari con una chiave wpa
- configurare un firewall su PC1 a protezione degli altri computer
Qualche suggerimento?
Poi vi prometto che se ci incrociamo da qualche parte un bel birrozzo gelato ve lo offro ben piu' che volentieri.

Buono il suggerimento di eaman per il gateway all'ip massimo della sotto-rete, può tornar utile.

Per salvare le regole di iptables ci son molte possibilità.
Quella che mi sembra più semplice e comoda è questa (http://www.debian-administration.org/articles/445), usando iptables-restore (http://unixhelp.ed.ac.uk/CGI/man-cgi?iptables-restore+8) delle regole salvate con iptables-save (http://unixhelp.ed.ac.uk/CGI/man-cgi?iptables-save+8).
Per farla ancor più semplice e pulita userei il comando da inserire in /etc/network/interfaces suggerito nel commento 5 (http://www.debian-administration.org/articles/445#comment_5), in modo da evitare uno script personalizzato in /etc/network/if-up.d/

Anche la configurazione del wireless WPA si dovrebbe poter mettere tutta in /etc/network/interfaces (http://www.cyberciti.biz/faq/debian-linux-wpa-wpa2-wireless-wifi-networking/) (uso il condizionale perché non sono un assiduo utilizzatore di reti wireless, le uso solo per emergenze non salvando mai impostazioni).

Riguardo a qualche regola di firewall un po' più stretta qui puoi trovare un esempio delle regole che utilizzo. (http://www.hwupgrade.it/forum/showpost.php?p=21883442&postcount=23)

Grazie dei suggerimenti eaman vedro' di conservarli per un giorno di mooolta pioggia :D adesso tutto sembra funzionare e per ora mi basta.

Esatto, non ho un access-point, bensi' ho il disco della morte Pirelli, uno dei primi di quelli ancora con la smart-card inserita di traverso (avra' ormai i suoi bei 10 anni).
Quindi, a prescindere dal modem, non hai un access point. Perche' se no ti prendi uno switch a 5 porte da 8 euro attacchi tutto a quello, fai fare tutto al tuo router - disco - inferno e buona notte.

Inoltre prima di spippolare ulteriormente dovrei ancora:
- capire dove inserire i due comandi nat per renderli attivi ad ogni avvio
Al momento in cui vengono configurate le schede di rete, es in debian /etc/network/interfaces :
iface lan inet static
post-up /sbin/iptables-restore /root/nat/basic
address 192.168.0.254
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
mtu 7000
/root/nat/basic e' una impostazione generata con iptables-save, ma se sei selvatico e hai una sola reogolapuoi provare con un: post-up /sbin/iptables tutta_la_mai_regola_...
- capire dove inserire il comando iwconfig per la configurazione della scheda wireless per renderlo attivo ad ogni avvio
Io mica ho capito se tu ce lo hai un access point, comunque sempre in /etc/network/interfaces:
- http://wiki.debian.org/WiFi/HowToUse#wpa_supplicant
- oppure per il roaming: http://ubuntuforums.org/showthread.php?t=1259003
- aggiungere un po' di sicurezza sul collegamento wi-fi magari con una chiave wpa
Dho, i link di prima sono per la cifratura, manco pensavo fossi in chiaro!
- configurare un firewall su PC1 a protezione degli altri computer
Proteggere cosa e da chi? Sono in una rete privata dietro a un NAT, non hai servizi aperti...

Comunque queste non fanno male, sulla macchina che fa il NAT:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i device-da-cui-arriva-internet -m state --state NEW -j ACCEPT
-A INPUT -i device-da-cui-arriva-internet -j REJECT --reject-with icmp-port-unreachable

# Queste per prevenire attacchi brute force su SSH sul gateway,
# Sempre se hai SSH
-A INPUT -i device-da-cui-arriva-internet -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 2 --name DEFAULT --rsource -j DROP
-A INPUT -i device-da-cui-arriva-internet -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource

Qualche suggerimento?
Poi vi prometto che se ci incrociamo da qualche parte un bel birrozzo gelato ve lo offro ben piu' che volentieri.
WoW, per smaltire la sborni pero' ci vuole il sole :)

Edit stupido post

;36479076']Buono il suggerimento di eaman per il gateway all'ip massimo della sotto-rete, può tornar utile.

Per salvare le regole di iptables ci son molte possibilità.
Quella che mi sembra più semplice e comoda è questa (http://www.debian-administration.org/articles/445), usando iptables-restore (http://unixhelp.ed.ac.uk/CGI/man-cgi?iptables-restore+8) delle regole salvate con iptables-save (http://unixhelp.ed.ac.uk/CGI/man-cgi?iptables-save+8).
Per farla ancor più semplice e pulita userei il comando da inserire in /etc/network/interfaces suggerito nel commento 5 (http://www.debian-administration.org/articles/445#comment_5), in modo da evitare uno script personalizzato in /etc/network/if-up.d/

Anche la configurazione del wireless WPA si dovrebbe poter mettere tutta in /etc/network/interfaces (http://www.cyberciti.biz/faq/debian-linux-wpa-wpa2-wireless-wifi-networking/) (uso il condizionale perché non sono un assiduo utilizzatore di reti wireless, le uso solo per emergenze non salvando mai impostazioni).

Riguardo a qualche regola di firewall un po' più stretta qui puoi trovare un esempio delle regole che utilizzo. (http://www.hwupgrade.it/forum/showpost.php?p=21883442&postcount=23)

Ottimo, vedro' di approfondire le impostazioni in /network/interfaces.
Per il firewall pensavo di usare un'interfaccia, onde evitare l'impatto testuale; che ne dici di guarddog?

Quindi, a prescindere dal modem, non hai un access point. Perche' se no ti prendi uno switch a 5 porte da 8 euro attacchi tutto a quello, fai fare tutto al tuo router - disco - inferno e buona notte.

Eh, lo so, ma vuoi mettere l'emozione di tribolare ed imparare nuove cose? :D :rolleyes:

Al momento in cui vengono configurate le schede di rete, es in debian /etc/network/interfaces :
iface lan inet static
post-up /sbin/iptables-restore /root/nat/basic
address 192.168.0.254
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
mtu 7000
/root/nat/basic e' una impostazione generata con iptables-save, ma se sei selvatico e hai una sola reogolapuoi provare con un: post-up /sbin/iptables tutta_la_mai_regola_...

Andro' sul selvatico.

Io mica ho capito se tu ce lo hai un access point, comunque sempre in /etc/network/interfaces:
- http://wiki.debian.org/WiFi/HowToUse#wpa_supplicant
- oppure per il roaming: http://ubuntuforums.org/showthread.php?t=1259003

Dho, i link di prima sono per la cifratura, manco pensavo fossi in chiaro!

Ehm vorrei appunto usare PC1 come una specie di AP.

Proteggere cosa e da chi? Sono in una rete privata dietro a un NAT, non hai servizi aperti...

Davvero? quindi un firewall sarebbe inutile? Puoi per favore spiegarti meglio? Servizi aperti: ho delle condivisioni NFS tra PC1 e PC2, piu' un server vnc su PC2: possono essere considerati servizi aperti verso internet?

Comunque queste non fanno male, sulla macchina che fa il NAT:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i device-da-cui-arriva-internet -m state --state NEW -j ACCEPT
-A INPUT -i device-da-cui-arriva-internet -j REJECT --reject-with icmp-port-unreachable

# Queste per prevenire attacchi brute force su SSH sul gateway,
# Sempre se hai SSH
-A INPUT -i device-da-cui-arriva-internet -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 2 --name DEFAULT --rsource -j DROP
-A INPUT -i device-da-cui-arriva-internet -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource


Come detto nel mio post a gimli una configurazione con guarddog sarebbe inopportuna? Almeno per il momento.

WoW, per smaltire la sborni pero' ci vuole il sole :)

Oggi un bel sole c'era eccome :cool: .

Davvero? quindi un firewall sarebbe inutile? Puoi per favore spiegarti meglio? Servizi aperti: ho delle condivisioni NFS tra PC1 e PC2, piu' un server vnc su PC2: possono essere considerati servizi aperti verso internet?
Solo se li hai settati aperti verso internet.
NFS server dovrebbe essere settato per ascoltare solo sull'interfaccia di rete locale,
stessa cosa per il server VNC.

Comunque sono entrambi su una rete privata per altro diversa da quella su cui e' il modem: ergo da fuori non sono raggiungibili.
Come detto nel mio post a gimli una configurazione con guarddog sarebbe inopportuna? Almeno per il momento.
Usa il sistema che preferisci, ragionare sul firewall e sicurezza della rete e' sempre un buon esercizio. Ma sia chiaro che finche' sei dietro un NAT su un IP privato non sei raggiungibile da fuori. Al limite potresti ragionare sul firewall del modem (NIENTE PANICO: che vuoi che ti facciano sul modem?).

Comunque le seguenti 3 regole impediscono a gente di fuori di introfularsi dentro la tua LAN:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i device-da-cui-arriva-internet -m state --state NEW -j ACCEPT
-A INPUT -i device-da-cui-arriva-internet -j REJECT --reject-with icmp-port-unreachable

Piuttosto cifra la rete wireless, con quella si che sei esposto al vicinato.