Implementazione di un firewall fisico con doppia scheda di rete

nightfly · 30-04-2008, 18:42

Salve a tutti. Recentemente ho provato ad installare nella mia LAN un piccolo firewall fisico, basato su una linux box con doppia scheda di rete. Il problema, però, si presenta subito dopo aver configurato gli IP delle due schede in questione. In particolare, alla prima NIC, a cui è collegato il Router (di indirizzo 10.1.1.1) ho dato come indirizzo 10.1.1.5 e alla seconda (collegata allo switch) ho dato indirizzo 10.1.1.4. L'idea è che il traffico proveniente da internet passi prima dal router, giunga nella scheda con indirizzo 10.1.1.5, venga sottoposto al controllo del firewall (iptables) e successivamente inoltrato all'interfaccia con indirizzo 10.1.1.4. Quindi la scheda eth1 (10.1.1.5) può essere considerata come scheda "esterna" mentre la scheda eth0 rappresenta la scheda "interna". Per maggior chiarezza ecco un piccolo schemino che mostra la topologia della mia rete:

Internet -> Router -> Scheda "esterna" e "Scheda interna" -> switch -> host della LAN.

Ebbene, con entrambe le interfacce abilitate, pingo il router e quest'ultimo risponde senza problemi. Se invece pingo un host della rete interna, l'output è "host unreachable". Viceversa, disabilitando la scheda collegata al router, riesco a pingare senza problemi gli host della LAN.
I gateway impostati sono i seguenti:

10.1.1.1 per la scheda esterna
10.1.1.5 per la scheda interna

Non è un problema di DNS poichè li ho impostati correttamente. Credo comunque sia un problema di rotte. Se qualcuno riuscisse a darmi una mano gliene sarai veramente grato

Devil! · 30-04-2008, 22:01

Innanzitutto non è corretta l'assegnazione degli indirizzi: solitamente interfaccia Internet e interfaccia Lan sono su due sottoreti differenti e la condivisione della connessione avviene tramite la funzione masquerade di Iptables.
Inoltre l'interfaccia Lan non deve essere provvista di gateway e DNS.

Es:
**Firewall**
Interfaccia Internet

IP: 10.1.1.5
SUBNET: 255.255.255.0
GATEWAY: 10.1.1.1
DNS: 10.1.1.1 (o quelli del provider)

Interfaccia Lan
IP: 10.1.2.1
SUBNET: 255.255.255.0

**Client connessi allo switch**
Interfaccia Lan
IP: 10.1.2.x
SUBNET: 255.255.255.0
GATEWAY: 10.1.2.1
DNS: 10.1.2.1 o 10.1.1.1 (o quelli del provider)

Ovviamente tutto questo vale nell'ipotesi che tu voglia far funzionare il firewall come gateway con funzioni di NAT e non come bridge di rete.

30-04-2008, 18:42	#1
nightfly Senior Member Iscritto dal: Jun 2005 Città: Reggio Calabria Messaggi: 377	Implementazione di un firewall fisico con doppia scheda di rete Salve a tutti. Recentemente ho provato ad installare nella mia LAN un piccolo firewall fisico, basato su una linux box con doppia scheda di rete. Il problema, però, si presenta subito dopo aver configurato gli IP delle due schede in questione. In particolare, alla prima NIC, a cui è collegato il Router (di indirizzo 10.1.1.1) ho dato come indirizzo 10.1.1.5 e alla seconda (collegata allo switch) ho dato indirizzo 10.1.1.4. L'idea è che il traffico proveniente da internet passi prima dal router, giunga nella scheda con indirizzo 10.1.1.5, venga sottoposto al controllo del firewall (iptables) e successivamente inoltrato all'interfaccia con indirizzo 10.1.1.4. Quindi la scheda eth1 (10.1.1.5) può essere considerata come scheda "esterna" mentre la scheda eth0 rappresenta la scheda "interna". Per maggior chiarezza ecco un piccolo schemino che mostra la topologia della mia rete: Internet -> Router -> Scheda "esterna" e "Scheda interna" -> switch -> host della LAN. Ebbene, con entrambe le interfacce abilitate, pingo il router e quest'ultimo risponde senza problemi. Se invece pingo un host della rete interna, l'output è "host unreachable". Viceversa, disabilitando la scheda collegata al router, riesco a pingare senza problemi gli host della LAN. I gateway impostati sono i seguenti: 10.1.1.1 per la scheda esterna 10.1.1.5 per la scheda interna Non è un problema di DNS poichè li ho impostati correttamente. Credo comunque sia un problema di rotte. Se qualcuno riuscisse a darmi una mano gliene sarai veramente grato __________________ Here Comes The Music Ecstasy

30-04-2008, 22:01	#2
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	Innanzitutto non è corretta l'assegnazione degli indirizzi: solitamente interfaccia Internet e interfaccia Lan sono su due sottoreti differenti e la condivisione della connessione avviene tramite la funzione masquerade di Iptables. Inoltre l'interfaccia Lan non deve essere provvista di gateway e DNS. Es: Firewall Interfaccia Internet IP: 10.1.1.5 SUBNET: 255.255.255.0 GATEWAY: 10.1.1.1 DNS: 10.1.1.1 (o quelli del provider) Interfaccia Lan IP: 10.1.2.1 SUBNET: 255.255.255.0 Client connessi allo switch Interfaccia Lan IP: 10.1.2.x SUBNET: 255.255.255.0 GATEWAY: 10.1.2.1 DNS: 10.1.2.1 o 10.1.1.1 (o quelli del provider) Ovviamente tutto questo vale nell'ipotesi che tu voglia far funzionare il firewall come gateway con funzioni di NAT e non come bridge di rete. __________________

Strumenti
Mostra una versione stampabile Invia questa pagina per email