Ciao a tutti,

dovrei installare un firewall software a capo di una rete Microsoft, che distro mi consigliate?
Vorrei creare uno o piu' classi di rete Microsoft, per differenziare dei pc da altri, di quante schede di rete ho bisogno? Una per ogni classe o sottorete per caso?

Considerate che sono un newbie di Linux, quindi vorrei installare una distro che usi una shell amichevole; e' gia' per me problematico installare un firewall software, se poi devo impazzire anche per Linux, sto fresco :( :cry: !!!!


byezzz

Il tuo fw deve filtrare traffico "interno"? Ovvero regolare gli accessi tra una subnet e l'altra? Oppure deve fare da fw con l'esterno, fregandosene di quante e quali subnet ci sono?

Il discorso non è "quale", ma "come"

Originally posted by "ilsensine"

Il tuo fw deve filtrare traffico "interno"? Ovvero regolare gli accessi tra una subnet e l'altra? Oppure deve fare da fw con l'esterno, fregandosene di quante e quali subnet ci sono?

Scusa ma un firewall non dovrebbe servire solo ai filtrare l'esterno?

Oltre al Linux ci vuole anche un software di firewall per lo stesso, o esistono distro specifiche che hanno tutto incorporato?
Questo fw con linux starebbe a monte della rete, tra il router adsl e un hub, cosicche' possa filtrare tutte quelle porte "illegali" che normalmente vengono utilizzate da i vari programmi di p2p, trojan, posta elettronica, ecc.



byezzz

Originally posted by "Pang"

Il discorso non è "quale", ma "come"

Intanto ditemi cosa ci vuole, per il come esisteranno in rete degli esempi di FW con Linux, no? :rolleyes:

Qui in azienda volevano fare la stessa cosa con windows98 ed il Kerio firewall, ma secondo voi e' fattibile, o win98 e' troppo bucato per essere usato?



byezzz

io proverei a considerare una minidistibuzione, come freesco....
è molto configurabile, fornisce strumenti di monitoraggio e si po' installare in pochissimo spazio, magari anche su una memory card da 16mb.... con conseguente affidabilità e velocità...
reciclando una macchina vecchia si avrebbe un router/firewall potente e veloce

non so se fa al caso tuo
http://www.mandrakesoft.com/products/mnf
dovrebbe essere una mandrake specifica per fare da firewall (spero di non sbagliarmi)

Originally posted by "FiorDiLatte"


Scusa ma un firewall non dovrebbe servire solo ai filtrare l'esterno?
Esistono soluzioni complicate che fanno uso di fw intermedi, non sapevo se era questo che dovevi fare.

Oltre al Linux ci vuole anche un software di firewall per lo stesso, o esistono distro specifiche che hanno tutto incorporato?
Il fw di linux è incorporato nel kernel, quindi qualsiasi distro lo ha.

Non è difficile da fare, molte distro mettono a disposizione strumenti per configurarli in automatico, anche se ti consiglio _vivamente_ di leggerti un pò di documentazione in italiano e fartelo in casa, in base alle tue esigenze (ad es. bloccare particolari trojan, consentire l'uscita dei pacchetti solo in determinati casi ecc.)

La versione della Mandrake per fare da firewall che ti ha indicato Lovaz è ben più completa di quello che ti serve, puoi usare una Mandrake o Redhat standard.

Rimane la piccola complicazione delle diverse subnet, ma è risolvibile facilmente impostando degli IP alias per la tua scheda di rete (si fa facilmente con netconf, ma la Redhat ha visto bene di non distribuire più questo utilissimo programma).

Ti consiglio di fare un pò di pratica con 2 computer; quando hai imparato come procedere, puoi passare alla realizzazione del firewall. E' facile, chiedi pure tutti i consigli di cui hai bisogno.

Originally posted by "FiorDiLatte"


Qui in azienda volevano fare la stessa cosa con windows98 ed il Kerio firewall, ma secondo voi e' fattibile, o win98 e' troppo bucato per essere usato?

La stessa Microsoft ha definito i sistemi Windows 9x come "intrinsecamente insicuri", dopo averli venduti per anni come "sicuri". Fai tu.

Premesso che le shell sono TUTTE uguali indipentemente dalla distro, così come il software per filtrare (ipchains o iptables) devi allora considerare una distro che sia facile da installare o da configurare.. A mio avviso le più user friendly sono mandrake e red hat.
Personalmente mandrake non mi piace, ti consiglio Red Hat.
Per quanto riguarda il fw se non vuoi farti uno script a mano potresti provare con guarddog o con nome simile..
ciao
FrA

le soluzioni sono:

1- ti installi una distro qualsiasi (io utilizzavo red hat 7.3, poi vedi tu , se ad esempio vuoi qualkosa di semplice prendi la mandrake), e poi attivi Iptables ke pero lo devi configurare a manina per bene (e questo te lo devi studiare).

2- Utilizzi ditribuzioni apposite per questa funzione: vedi la Mandrake che ti hanno segnalato (ke fa vermanete di tutto e con interfacia web in due secondo lo tiri su), oppure c'è Smoothwall (sempre con interfaccia web) o anke Astaro (un po piu rognosetta però).

per un firewall discreto si puo' usare anche IPCOP, configurazione via web e/o ssh, ottima per ISDN, con ADSL ancora non l'ho provata, ma mi dicono (colleghi) molto buona anche per quella (supporto PPPOE gia' bello e pronto)

http://www.ipcop.org

In piu' supporto IPSEC FreeS/Wan anche quello gia' bello e pronto

Altri servizi:

SNORT, Gestione reti GREEN/ORANGE/RED, DMZ pinholes, SQUID, logging del mondo intero ;)

Saluti

Originally posted by "Hell-VoyAgeR"

per un firewall discreto si puo' usare anche IPCOP, configurazione via web e/o ssh, ottima per ISDN, con ADSL ancora non l'ho provata, ma mi dicono (colleghi) molto buona anche per quella (supporto PPPOE gia' bello e pronto)

http://www.ipcop.org

In piu' supporto IPSEC FreeS/Wan anche quello gia' bello e pronto

Altri servizi:

SNORT, Gestione reti GREEN/ORANGE/RED, DMZ pinholes, SQUID, logging del mondo intero ;)

Saluti

Sourceforge è una miniera inesauribile di software fikissimo!

addirittura sistema IDS integrato....e ke è?? :D

ti diro'... a casa mi ci trovo benissimo, ho messo un vecchio p133 con scheda isdn nel mezzo, configurato un utente (dial) su ipcop che puo' solo fare connessione/disconnessione, data la password a tutta la famiglia... e finalmente non mi stressano piu' ogni volta con "puoi connettermi ad internet?" :D In piu' ogni tanto mi faccio un giro nei log dello squid per fare un po' di statistiche http://forum.hwupgrade.it/faccine/59.gif

Originally posted by "Hell-VoyAgeR"

ti diro'... a casa mi ci trovo benissimo, ho messo un vecchio p133 con scheda isdn nel mezzo, configurato un utente (dial) su ipcop che puo' solo fare connessione/disconnessione, data la password a tutta la famiglia... e finalmente non mi stressano piu' ogni volta con "puoi connettermi ad internet?" :D In piu' ogni tanto mi faccio un giro nei log dello squid per fare un po' di statistiche http://forum.hwupgrade.it/faccine/59.gif

violazione della privacy! :D

bravoi bravo..fai bene!

Originally posted by "Hell-VoyAgeR"

per un firewall discreto si puo' usare anche IPCOP, configurazione via web e/o ssh, ottima per ISDN, con ADSL ancora non l'ho provata, ma mi dicono (colleghi) molto buona anche per quella (supporto PPPOE gia' bello e pronto)

http://www.ipcop.org

In piu' supporto IPSEC FreeS/Wan anche quello gia' bello e pronto

Altri servizi:

SNORT, Gestione reti GREEN/ORANGE/RED, DMZ pinholes, SQUID, logging del mondo intero ;)

Saluti

su di un Pentium 100 con due schede di rete (una ADSL e una LAN), (MB di Ram e HD 800MB per te funziona????
Io ora uso la BBIagent ma se non si pagan 30 dollarucci non salva la config su dischetto e devo rimettere tutta la config a mano :mad: (e riaprire tutte le porte di Xmule e di Gnomeicu a mano è una palla indescrivibile :o )

e donateli sti 5 euro! :p

Originally posted by "ziobystek"

e donateli sti 5 euro! :p

se c'è qualcosa gratis che fa lo stesso lavoro (e anche di +) perchè sprecarli???? :)

Originally posted by "Fradetti"



su di un Pentium 100 con due schede di rete (una ADSL e una LAN), (MB di Ram e HD 800MB per te funziona????
Io ora uso la BBIagent ma se non si pagan 30 dollarucci non salva la config su dischetto e devo rimettere tutta la config a mano :mad: (e riaprire tutte le porte di Xmule e di Gnomeicu a mano è una palla indescrivibile :o )

IPCop requires at least the following configuration to run:
CPU: 386
RAM: 8MB
IDE Harddisk: 100MB (version 0.1.1)
125Mb (version 1.2.0)
125Mb + 2 times RAM size (version 1.3)
IPCop does not support SCSI drives at present.

Additionally, at least one NIC (Network Interface Card) is required for connecting to the local network and you need an interface for connecting to the external network, for example an analogue modem or an isdn modem.

Note -- AngusSF - 15 Mar 2002: Some users report that 16-20mb is required for the initial install. An install on a 486/66 w/8MB failed for me several times, but once I increased RAM to 20MB it completed.

Note -- RogerEisenecher - 13 Feb 2003: For a IPCop V1.2.0 installation the memory requirement depends on the size of your harddisk. For a 100 MB harddisk 24 MB ram where enough. With less than 24 MB the installation will fail (the setup program restarts). If you plan to use a large harddisk (ex. 50 GB) you need at least 28 MB ram to install IPCop else the installation program will fail.

Quindi a occhio con 8 mega di ram gira ma per installare ce ne vuole forse un po' di piu'...

come dire... occorre testare! :)

Originally posted by "Fradetti"



se c'è qualcosa gratis che fa lo stesso lavoro (e anche di +) perchè sprecarli???? :)

mi riferivo al mondo opensource in generale cmq....ke NON è gratis ma a donazione...purtroppo in Italia questa usanza non c'è. :(

Originally posted by "ziobystek"



mi riferivo al mondo opensource in generale cmq....ke NON è gratis ma a donazione...purtroppo in Italia questa usanza non c'è. :(

Il fatto è che non ho la carta di credito... cmq appena posso mi iscrivo alla Free Software Fundation :)

I problemi non riguardano una subnet diversa, ma una classe diversa di ip, cioe' vorrei sistemare un'aula corsi con i canonici 192.168.1.xxx e la parte amministrativa con i 10.1.1.xxx, non e' esclusa anche in futuro l'ausilio di un'altra classe o sottorete. Il problema maggiore e' configurare il FW Linux per far funzionare a modino il pc con Windows 2000 Server ed Sql Server 2000, infatti questo pc non e' attivo su internet, serve solo a fare delle prove di funzionamento dei siti web che poi pubblicheremo su altri server esterni (aruba, consultiweb, ecc.).

Il pc con Linux dovrebbe essere un Pentium a 233 mhz con 64 mega di ram e HDD da 2 Gbyte, potrebbe andar bene come pc?

Altra cosa che vorrei sapere, e' se il pc in questione, in futuro si guastasse, basterebbe sostituirlo con un altro diverso, solamente spostando l'hardisk a quest'ultimo, o dovrei riconfigurare i driver per il nuovo pc, per farlo funzionare al 100%, non so, se mi sono spiegato!?



byezzz

Originally posted by "FiorDiLatte"

I problemi non riguardano una subnet diversa, ma una classe diversa di ip
...che è la stessa cosa. Però visto che puoi assegnare a una scheda di rete più IP alias (ad es. 192.168.1.254/24, 10.1.1.200/24) non dovresti avere problemi.

Il problema maggiore e' configurare il FW Linux per far funzionare a modino il pc con Windows 2000 Server ed Sql Server 2000, infatti questo pc non e' attivo su internet, serve solo a fare delle prove di funzionamento dei siti web che poi pubblicheremo su altri server esterni (aruba, consultiweb, ecc.).
Basta che blocchi tutto il traffico da e verso quelle macchine


Il pc con Linux dovrebbe essere un Pentium a 233 mhz con 64 mega di ram e HDD da 2 Gbyte, potrebbe andar bene come pc?
Dipende dal numero di regole per il firewall di cui hai bisogno. A naso direi di sì.

Altra cosa che vorrei sapere, e' se il pc in questione, in futuro si guastasse, basterebbe sostituirlo con un altro diverso, solamente spostando l'hardisk a quest'ultimo, o dovrei riconfigurare i driver per il nuovo pc, per farlo funzionare al 100%, non so, se mi sono spiegato!?
Basta che "sposti" l'HD mantenendo il kernel di default della distribuzione. Al più dovrai riconfigurare l'interfaccia grafica (se la usi), a causa della diversa scheda video, ed eventualmente indicare i nuovi driver per le schede di rete (se diverse). Linux non si accorgerà minimamente della transizione, penserà a tutto il kernel.

Originally posted by "FiorDiLatte"

Il pc con Linux dovrebbe essere un Pentium a 233 mhz con 64 mega di ram e HDD da 2 Gbyte, potrebbe andar bene come pc?

Altra cosa che vorrei sapere, e' se il pc in questione, in futuro si guastasse, basterebbe sostituirlo con un altro diverso, solamente spostando l'hardisk a quest'ultimo, o dovrei riconfigurare i driver per il nuovo pc, per farlo funzionare al 100%, non so, se mi sono spiegato!?

byezzz

dovrbbe bastarti un hardware del genere.

per la transizione non dovresti avere problemi....distro come red hat e mandrake hanno tool grafici abbastanza semplici per la gestione del nuovo hardware e non danno particolari problemi.

Originally posted by "ilsensine"


...che è la stessa cosa. Però visto che puoi assegnare a una scheda di rete più IP alias (ad es. 192.168.1.254/24, 10.1.1.200/24) non dovresti avere problemi.


Basta che blocchi tutto il traffico da e verso quelle macchine


Dipende dal numero di regole per il firewall di cui hai bisogno. A naso direi di sì.


Basta che "sposti" l'HD mantenendo il kernel di default della distribuzione. Al più dovrai riconfigurare l'interfaccia grafica (se la usi), a causa della diversa scheda video, ed eventualmente indicare i nuovi driver per le schede di rete (se diverse). Linux non si accorgerà minimamente della transizione, penserà a tutto il kernel.

Il Windows 2000 Server, ci serve per vedere da internet come funziona il sito da noi creato, infatti nel nostro abbonamento ad internet abbiamo degli ip statici pubblici, da cui (tramite il NAT del router) si possono vedere i nostri siti web presenti sul Win2k Server, siti con indirizzo: www.pincopallino.it:8081 - :8082 - :8083 - ecc. . Tramite l'ip statico sara' possibile visionare i siti presenti sul win2k server.

Uno dei problemi maggiori e' qui, ora che non abbiamo il firewall via linux, il router e' configurato in una certa maniera, ma se dovessimo metterlo, dovremmo stravolgere pure la configurazione del router per farlo funzionare col linux o no?

Nel pc dove verra' installato il Linux, quante schede di rete ci vorranno?

Una per ogni subnet + una per il router, o e' consigliabile usare gli ip alias?

Forse la prima soluzione e' piu' performante o sbaglio?

Ma riguardo al cambio di computer eventuale, il linux riconoscera' da solo il chipset della MoBo, o dovro' installare dei driver specifici?

Mi hanno imprestato la Mandrake 9.1 su 4 cd, me la consigliate per iniziare, cosa devo eliminare durante l'installazione, per farne un uso di "firewalling"?


Grazie per l'aiuto!!!


byezzz

Ne approfitto anche per farvi un'ulteriore domanda, visto che i kernel che escono sono standard, cioe' possono essere compilati (adattati) ad una qualsiasi distribuzione di linux (da quello che ho letto e capito), cos'hanno di differenti le varie distro, forse il software a corredo, o proprio il kernel, o entrambi?



ribyezzz

Originally posted by "FiorDiLatte"


Uno dei problemi maggiori e' qui, ora che non abbiamo il firewall via linux, il router e' configurato in una certa maniera, ma se dovessimo metterlo, dovremmo stravolgere pure la configurazione del router per farlo funzionare col linux o no?
Forse devi cambiare qualcosa. Ad esempio puoi lasciare a linux il compito di fare la NAT. Il problema va studiato, ma le soluzioni ci sono.


Nel pc dove verra' installato il Linux, quante schede di rete ci vorranno?
Una per ogni subnet + una per il router, o e' consigliabile usare gli ip alias?

Una per ogni subnet sarebbe preferibile. Potresti in tal caso usare lo stesso fw linux come "ponte" tra le due subnet, se ti serve.


Ma riguardo al cambio di computer eventuale, il linux riconoscera' da solo il chipset della MoBo, o dovro' installare dei driver specifici?

Pensa a tutto il kernel, non ti devi preoccupare.


Mi hanno imprestato la Mandrake 9.1 su 4 cd, me la consigliate per iniziare, cosa devo eliminare durante l'installazione, per farne un uso di "firewalling"?

Va bene. Non devi eliminare nulla in particolare, abbi solo cura di installare iptables. Puoi maneggiare i pacchetti anche dopo l'installazione, con pochi click.
La "cassazione" dei servizi inutili o pericolosi puoi farla anche dopo, ma tieni conto che il tuo fw dovrai blindarlo, ovvero non dovrà poter comunicare con l'esterno (per ovvi motivi di sicurezza).

Originally posted by "FiorDiLatte"



Il Windows 2000 Server, ci serve per vedere da internet come funziona il sito da noi creato, infatti nel nostro abbonamento ad internet abbiamo degli ip statici pubblici, da cui (tramite il NAT del router) si possono vedere i nostri siti web presenti sul Win2k Server, siti con indirizzo: www.pincopallino.it:8081 - :8082 - :8083 - ecc. . Tramite l'ip statico sara' possibile visionare i siti presenti sul win2k server.




ma il server web è accessibile dall' esterno???
se è cosi devi creare una DMZ.

Originally posted by "ziobystek"




ma il server web è accessibile dall' esterno???
se è cosi devi creare una DMZ.

Si'!! E' accessibile dall'esterno, solo pero' per testare i siti web che facciamo.
Ma ora non abbiamo una DMZ (cos'e' ed a cosa serve?) quindi e' obbligatorio crearla questa zona demilitarizzata ;) ?


byezzz

Originally posted by "ziobystek"


ma il server web è accessibile dall' esterno???
se è cosi devi creare una DMZ.
Se non ho capito male, la seconda subnet è in effetti una DMZ. Si può fare tutto con un unico firewall e 3 schede di rete.

x FiorDiLatte:
DMZ = zona "demilitarizzata". E' la sezione di una rete che contiene server accessibili dall'esterno.

Originally posted by "FiorDiLatte"



Si'!! E' accessibile dall'esterno, solo pero' per testare i siti web che facciamo.
Ma ora non abbiamo una DMZ (cos'e' ed a cosa serve?) quindi e' obbligatorio crearla questa zona demilitarizzata ;) ?


byezzz

la DMZ (o zona demilitarizzata) è quella zone dove ci sono di solito i web server o makkine ke devono essere accessbili dall' esterno sulle varie porte, in sostanza sono i web server con ip pubblico.

ti allego un immaginina. non so come hai strutturata la rete al momento.

azz...l' immagine :D

Ehm... scusami fiordilatte.

Esporresti in maniera chiara gli step del tuo lavoro in modo da renderlo patrimonio di tutto il chan?
Io vorrei mettere un firewall linux su lan windows xp (2 macchine) con switch e router adsl.

Per la distro avevo pensato a Mandrake 9.1.... come dice il saggio: " ci diamo una mano a vicende nella creazione: io parto adesso"....
Magari se tu hai usato una distro diversa la cambio anch'io così da rendere comuni i progressi....
;)


Ciao.

Originally posted by "coglialvolo"

Ehm... scusami fiordilatte.

Esporresti in maniera chiara gli step del tuo lavoro in modo da renderlo patrimonio di tutto il chan?
Io vorrei mettere un firewall linux su lan windows xp (2 macchine) con switch e router adsl.

Per la distro avevo pensato a Mandrake 9.1.... come dice il saggio: " ci diamo una mano a vicende nella creazione: io parto adesso"....
Magari se tu hai usato una distro diversa la cambio anch'io così da rendere comuni i progressi....
;)


Ciao.

I quesiti che sto chiedendo io, sono solo logici, non pratici, prima di iniziare vorrei avere una visione completa e dettagliata di quello che dovro' fare, quindi in pratica iniziero' un po' piu' in la' ad installare il linux ed a configurare tutto il software necessario; anche perche' ora come ora sono impegnato in altre cose.

byezzz

Originally posted by "ilsensine"


Se non ho capito male, la seconda subnet è in effetti una DMZ. Si può fare tutto con un unico firewall e 3 schede di rete.

x FiorDiLatte:
DMZ = zona "demilitarizzata". E' la sezione di una rete che contiene server accessibili dall'esterno.


No!!! Nella seconda subnet c'e' anche un web-server che usiamo per testare i nostri siti dall'esterno, ma ci sono anche altri pc che usiamo per lavorare.
Questa DMZ ha bisogno di una sua subnet specifica o puo' convivere con una delle due subnet che avrei preventivato di creare?

Il discorso si fa sempre piu' ampio, mi sa che faro' comprare un firewall hardware. Capire la logica del tcp/ip e' veramente una cosa amletica, vedro' che fare, soprattutto per il fatto che usare un pc con Win'98se per un utilizzo di firewalling mi sembra ridicolo, ma voi dovreste saperlo meglio di me, no?

byezzz

Originally posted by "FiorDiLatte"


No!!! Nella seconda subnet c'e' anche un web-server che usiamo per testare i nostri siti dall'esterno, ma ci sono anche altri pc che usiamo per lavorare.
Potresti spostarli sull'altra subnet
Questa DMZ ha bisogno di una sua subnet specifica o puo' convivere con una delle due subnet che avrei preventivato di creare?
Il problema è questo: un computer nella DMZ è a maggior rischio di compromissione. Se da quel computer puoi allegramente raggiungere tutti gli altri, ecco che bucato quel computer, bucati tutti. Quindi in genere la DMZ ha una subnet separata, ed è diviso da un firewall dalle altre zone "protette".

Il discorso si fa sempre piu' ampio, mi sa che faro' comprare un firewall hardware.
...per ottenere quali vantaggi? Il discorso sulla DMZ rimane tale e quale...

Originally posted by "ilsensine"


Potresti spostarli sull'altra subnet

Il problema è questo: un computer nella DMZ è a maggior rischio di compromissione. Se da quel computer puoi allegramente raggiungere tutti gli altri, ecco che bucato quel computer, bucati tutti. Quindi in genere la DMZ ha una subnet separata, ed è diviso da un firewall dalle altre zone "protette".


...per ottenere quali vantaggi? Il discorso sulla DMZ rimane tale e quale...

Innanzitutto configurare un firewall hardware e' piu' semplice, cioe' non dovrei imparare un nuovo sistema operativo, anche se sinceramente il Linux un po' mi stuzzica la curiosita', e poi un firewall hardware e' migliore di uno software, ho sentito dire e previene i vari problemi di malfunzionamento di un pc comune.

Riguardo alla DMZ, anche questa e' protetta dal firewall linux, no? Quindi teoricamente non dovrebbero esserci problemi di intromissione, tu consigli di avere un'altra subnet (quindi un terzo Nic) apposita per la dmz?
Dico questo, perche' vorremmo suddividere i pc della sala corsi, da quelli dell'amministrazione, ci stati dei corsisti rompiballe che usavano emule e software simili senza il nostro permesso, come se fosse una cosa naturale installarli :mad: :muro: !!! Quindi se i corsisti scaricano dei virus non vorremmo che ci infettassero tutti i pc dell'azienda, da qui il bisogno di proteggerci dall'esterno (perche' abbiamo degli ip statici/pubblici) e dall'interno (ovvero da qualche corsista/stagista un po' troppo intraprendente, ossia un bastardone ;) !! ) .


byezzz

...a maggior ragione hai bisogno di più subnet. Il problema qui è che alcune zone della rete interna sono da considerarsi "inaffidabili".
Un fw non può impedire che un idiota si prenda un virus, ma può impedire che il computer infettato mandi in crash gli altri (ad es. sfruttando gli innumerevoli bug del protocollo smb, ecc.) o li "infetti" in qualche altra maniera. Quindi io ti consiglierei:
- una subnet "principale" per i PC di lavoro comune
- una subnet dedicata alla DMZ, per i computer "pubblici" accessibili dall'esterno
- una subnet dedicata ai computer idiota-friendly, isolata dal fw dalla subnet principale (e possibilmente con log delle porte di emule, ecc. http://forum.hwupgrade.it/faccine/37.gif)

Se poi la tua azienda è "grande" e avete bisogno di altre subnet per altri reparti, sono solo varianti sul tema.

Non capisco come possa basarti esclusivamente su una dissertazione teorica (quando poi su internet ne esistono quantità bibliche), rinunciando a qualsiasi esperienza pratica.....

Ovviamente il tuo livello di impiego è decisamente professionale, ma un test su due macchine potrebbe esserti d'aiuto a capire meglio il mondo linux visto che, come me, sei un profano.

Giacchè la domanda che sorge spontanea è
Come diamine farai ad amministrare una sicurezza LINUX oriented visto che non capisci un tubo di questo s.o., in una situazione critical ovvero lavorative

Cmq su Linux pratico ho letto qualcosa che credo faccia al caso tuo.

Allora, la situazione è:
come posso fare un testing di un portale di prova su una macchina con ip privato che si collega ad internet tramite gateway ed indirizzo ip (anche non) statico ?

La soluzione sta negli sviluppi del kernel e nel comando iptables.

Posto che 151.38.31.246 sia l'ip (anche non) statico assegnato per l'accesso ad internet
e che 192.168.50.10 sia l'ip proivato del server web da testare

la macchina remota che volesse accedere al serverweb oscurato dal gateway dovrebbe inserire questo comando:

# iptables -t nat -A PREROUTING -p tcp -d 151.38.31.246 --dport 80
-j DNAT --to-destination 192.168.50.10:80

ovvero basterà inserire nel browser la riga
http://151.38.31.246:80

per avere accesso diretto alla macchina serverweb oscurata dal gateway

Se vuoi scendo nei dettagli....

Ciao.

S.P.Q.S.: Sono Pazzi Questi Sistemisti ;)

Originally posted by "coglialvolo"

Non capisco come possa basarti esclusivamente su una dissertazione teorica (quando poi su internet ne esistono quantità bibliche), rinunciando a qualsiasi esperienza pratica.....

Perché il suo è un compito:
1) complesso
2) delicato
3) Se sbaglia, il capo gli fa il c...

La "pratica" lì è un dettaglio, molto più importante la _certezza_ di prendere le decisioni giuste (qualunque sia il sistema che fa da fw).
Lo capisco perché anche noi abbiamo una rete mista, che fortunatamente non amministro io.

Sto installando la mandrake 9.1 su un pc, ho disabilitato l'interfaccia Gnome e non la KDE per risparmiare spazio, ho fatto bene?

Ho "spuntato" i servizi firewall/router ed ho tolto gli applicativi di Office che occupavano un bel po' di mega.

Non gli ho "detto" (al Linux) dove installarsi, cioe' nel primo Hdd c'e' win98se, mentre nel secondo non c'e' niente, col PQMagic ho creato una partizione primaria in EXT2, che poi il Mandrake ha riformattato in EXT3 sotto mio comando, non e' che mi sputtanera' :( Win98se, infatti di dual boot fin d'ora non ho visto nessuna opzione, me lo chiedera' piu' avanti?



byezzz

Ormai è tardi per ricordarsi che prima di smanettare con le partizioni va fatto un backup :cool:
Cmq non ti preoccupare, dovrebbe fare tutto da solo, se non lo fa lo si "convince" in seguito.

Cmq sarebbe andata l'installazione, il linux si sarebbe installato di "D:", metto il condizionale perche' l'installazione pare che si sia piantata forse perche' il vecchio HDD da 2 giga era difettoso, quindi ho fermato tutto.
Al successivo riavvio, ho tolto il secondo hardisk, ed il win98se e' partito normalmente come se non avessi fatto nulla.


byezzz

Bravissimo...
Fiordilatte, la pratica è la migliore maestra... ;)

CVD anch'io ho avuto problemi con l'hd....! E non sono ancora riuscito a creare la macchina linux... :muro:

Cmq, dopo aver letto en-passent qualcosina, ho capito che per mettere il firewall linux a protezione della Lan Windows dovrei realizzare una route statica:

router -> firewall -> LAN_WINDOWS (unica subnet)

Il firewal dovrebbe avere quindi due schede di rete e impostare la lan
come una DMZ.

Se DMZ significa zona demilitarizzata ovvero accessibile dall'esterno: a me non serve: ovvero io non ho la necessità che chicchessia acceda a queste macchine dall'esterno... Forse ho capito male!!!!

Cmq:
1) E' proprio così o c'è una soluzione alternativa che mi eviti l'accesso dall'esterno?
1) come si crea una route statica?
2) come si crea una DMZ?


Per fiordilatte: dopo quello che ho letto, sperando sempre di non sbagliarmi, credo che la soluzione migliore per lui sia:

utilizzare il router come un normale modem ethernet. In questo caso Linux tiene la connessione e fa da router/firewall.

Ovviamente il firewall dovra' avere sempre due schede di rete (a meno
che non usi pppoa al posto di pppoe, in questo caso te ne basta una).


SENSINE aiutami tu....

CIao ciao.

Originally posted by "coglialvolo"


router -> firewall -> LAN_WINDOWS (unica subnet)

Il firewal dovrebbe avere quindi due schede di rete e impostare la lan
come una DMZ.

Se non hai computer accessibili dall'esterno (web server, ecc.) la DMZ non ti serve.
Non è neanche necessario utilizzare indirizzi statici, non ne vedo il motivo ;)

Originally posted by "ilsensine"


Se non hai computer accessibili dall'esterno (web server, ecc.) la DMZ non ti serve.
Non è neanche necessario utilizzare indirizzi statici, non ne vedo il motivo ;)

Ma questa DMZ si chiama cosi' per definire un parte di rete privata che e' anche pubblica, o e' proprio un'opzione presente in certi router/firewall di un certo livello?


byezzz

Originally posted by "FiorDiLatte"


Ma questa DMZ si chiama cosi' per definire un parte di rete privata che e' anche pubblica, o e' proprio un'opzione presente in certi router/firewall di un certo livello?

La prima che hai detto.

sulla rete di emule gira un bel pdf ke potrebbe esservi utile.

Linux Firewall and Proxy Server-HOWTO.pdf

ed2k://|file|Linux.Firewall.and.Proxy.Server-HOWTO.pdf|188632|3A59E89BBAFF39AC76C5B5FD8D27ABFF|/

vi aggiungo anke questo va...:D

http://linux-newbie.sunsite.dk/

ed2k://|file|Linux.for.dummies.pdf|691680|65EF611431A152175741B103541A40A5|/

Ho provato ad installare la Debian 3.0, insomma l'ultima versione!!
Ho un problema :D , mi chiede il login e la password, pero' io il login non l'ho specificato solo la password ho messo, che login sara' mai?

Poi mentre l'ho installavo mi ha consigliato di creare un altro utente, per non entrare sempre come administrator (o come si chiama su linux), io ho creato un "debian user", mi pare :D :p , senza impostare nessuna password, la domanda e' sempre quella con che nome di default mi devo loggare col Debian?


byezzz

Sotto il consiglio de "IlSensine" ho provato pura la simpatica Knoppix 3.2, veramente ganza :D ;) , peccato che non mi vedeva le nic della realtek con chip 8139c ormai diffusissime in commercio, cmq sia una bella distribuzione per spippolare un poco su Linux senza nessuna preoccupazione di partizionamenti vari ed eventuali.


byezzz



ps= come avrete letto sopra, sono passato subito al sodo con la Debian, e mi sono scontrato subito con la mia posa attenzione che ho avuto nel leggere bene le cose che mi si paravano davanti. :( :muro:

Originally posted by "FiorDiLatte"

Ho provato ad installare la Debian 3.0, insomma l'ultima versione!!...
Ehm... la debian la devi aggiornare via internet.
Comunque l'utente che ti chiede e'
root
ma va usato solo se necessario, visto che puo' fare tutto, anche molti danni;
bisogna sempre usare un utente normale (che mi sembra hai creato) ed entrare da root quando serve con
su
e digitando la password (exit o ctrl+d per tornare utente normale)

Originally posted by "lovaz"


Ehm... la debian la devi aggiornare via internet.
Comunque l'utente che ti chiede e'
root
ma va usato solo se necessario, visto che puo' fare tutto, anche molti danni;
bisogna sempre usare un utente normale (che mi sembra hai creato) ed entrare da root quando serve con
su
e digitando la password (exit o ctrl+d per tornare utente normale)


Grazie!! :)

Cmq questa versione di debian che ho installato, mi ha riconosciuto la nic installata che ho potuto settare a modino, cosicche' ho potuto scaricare i vari pacchetti aggiuntivi via internet, senza alcun problema.

Un problema c'e' in effetti, la prima volta che ho provato ad installare la mandrake, quest'ultima mi chiedeva di installare i pacchetti per una configurazione firewall, mentre invece questa Debian non mi ha chiesto nulla di simile, c'erano varie opzioni da spuntare web server, mail server, ftp server, ecc. le ho selezionate tutte o quasi, ma sicuramente le dovro' togliere perche' sono servizi in piu' che non mi servono, quindi non so che fare per settare un firewall sulla Debian, a meno che debba installare un software specifico di firewall per tale distribuzione, ma a me pare strano!! :confused: :rolleyes:


byezzz

OK, mi sono loggato!! Ora, come faccio per caricare un'interfaccia grafica che mi aiuti a muovermi?

Sono ad un prompt di comando "FWLinux:~#" e poi c'e' il cursore che lampeggia, che devo fare?


byezzz

apt-get install x-window-system-core

ti installa il server grafico..

dopo

apt-get install fluxbox

ti installa un window manager che avvierai con "startx"

o preso d'esempio fluxbox xchè è leggero... senno puoi installare kde gnome ecc... ma comincia con fluxbox così fai in fretta pure a scaricarlo e vedi se parte con startx o occore configurare meglio il server x con scheda video tua ecc... usa driver vesa giusto per farlo andare poi si vedrà. .:)

Originally posted by "[sym

"]apt-get install x-window-system-core

ti installa il server grafico..

dopo

apt-get install fluxbox

ti installa un window manager che avvierai con "startx"

o preso d'esempio fluxbox xchè è leggero... senno puoi installare kde gnome ecc... ma comincia con fluxbox così fai in fretta pure a scaricarlo e vedi se parte con startx o occore configurare meglio il server x con scheda video tua ecc... usa driver vesa giusto per farlo andare poi si vedrà. .:)

Ma installando questo Fluxbox poi dovro' disinstallarlo per far posto ad un eventuale KDE o Gnome?


byezzz

no.

poi scegli con quale partire.

e cmq anche se volessi disistallarlo basta un

apt-get remove --purge fluxbox :) sono pochi centinaia di kb

Originally posted by "[sym

"]apt-get install x-window-system-core

ti installa il server grafico..

dopo

apt-get install fluxbox

ti installa un window manager che avvierai con "startx"

o preso d'esempio fluxbox xchè è leggero... senno puoi installare kde gnome ecc... ma comincia con fluxbox così fai in fretta pure a scaricarlo e vedi se parte con startx o occore configurare meglio il server x con scheda video tua ecc... usa driver vesa giusto per farlo andare poi si vedrà. .:)

E' possibile che non mi funzioni perche' non mi riconosce il mouse seriale?

Mi dice che c'e' un errore nel server, quindi di contattare il supporto e-mail di Debian!! :confused: :( :cry:


byezzz

spiega meglio, dove si blocca ?

se hai il log che stà /var/log è meglio

in caso è il mouse prova a riconfigurarlo con dpkg-reconfigure xserver-xfree86

Mi salta fuori un "Fatal server error: no screens found" !!! :confused:


Ho provato a riconfigurare l'xserver ma niente da fare, questa shell non vuole partire, da cosa dipendera' cio'?

Il sistema mi crea logicamente il file "/var/log/xfree86.0.log" ma come faccio per visualizzarlo, com'era il comando type su linux?


byezzz

cat nomefile
oppure
less nomefile

oppure lo metti come allegato ;)

Ho provato a reinstallare il debian ed a cambiare scheda video, ma ricevo sempre questi errori:


Unloading ................................ libfbdevhw.a
Unloading ................................ libvgahw.a

Screen(s) found, but none have a usable configuration .



Che posso fare? La scheda installata e' una radeon 7000/VE agp, prima c'era un riva 128 di nvidia sempre agp.

E' possibile che installando anzi il gnome o il kde non abbia di questi problemi?
Come faccio ad installare il gnome e/o il kde da linea di comando?


byezzz

Non so come ho fatto ma ora mi e' partito il KDE, forse ho installato altri pacchetti sicuramente superflui (tramite "dselect"), che pero' mi hanno consentito di andare avanti.

Ora il problema e' che il mouse non vuol funzionare, e' un mouse sconosciuto seriale montato sulla com1, l'ho provato pure sulla com2, ma nulla da fare, il kde in automatico non lo riconosce, si puo' dal kde configurarlo o devo andare in una shell di comando per sistemarlo?

Se ci devo andare, il problema e' come fare, visto che ora il debian mi parte sempre col kde, il logon e' grafico, e pure quando faccio il logout, cosa devo fare prima di spegnere la macchina, visto che se la spengo, tutte le volte al successivo riavvio il debian mi fa una specie di checkdisk?



byezzz

UP!!! :D


Il mouse non va ancora!!!


byezzz

Tutto a posto!!! Ora ho trovato un mouse compatibile microsoft ed e' andato tutto a posto!! :)


byezzz

Ho trovato quest'ottimo GuardDog per configurare il firewall con una interfaccia grafica, l'unica cosa e' che dovrei ricompilare il sorgente per il Debian 3.0!! :rolleyes:

1) Dove lo trovo il file sorgente o da come lo riconosco?

2) Come si fa a compilare un software per il Debian?

3) Non esiste un software che mi converta/autocompili un pacchetto in rpm nel formato che usa il debian? (E' fantascienza questa di cui parlo :D !!!)

byezzz

Originally posted by "FiorDiLatte"

1) Dove lo trovo il file sorgente o da come lo riconosco?Di solito e' in formato .tar.gz o .tar.bz2
2) Come si fa a compilare un software per il Debian?tar zxvf pippo.tar.gz
cd pippo
./configure
make
make install
3) Non esiste un software che mi converta/autocompili un pacchetto in rpm nel formato che usa il debian? (E' fantascienza questa di cui parlo :D !!!)E' proprio fantascienza... si chiama alien