Dmz, lan, wan costruzione firewall

globalace · 27-10-2007, 22:11

Mi sto esercitando con configurazioni di reti, vlan firewall ecc.
Ho creato una rete con una lan una dmz e una wan.
la wan ha ip 10.0.0.0/8
la dmz 192.168.17.0/24
la lan 192.168.18.0/24

ho inserito nella dmz un firewall con 3 interfacce e con ip:
interfaccia lan 192.168.18.254
interfaccia dmz 192.168.17.254
interfaccia wan 10.0.0.254 connessa all'interfaccia router 10.0.0.1

il firewall è stato implementato con iptables 1.3.5.
Una volta configurate le vlan sullo switch (correttamente sono state verificate), una volta impostati gli ip e le subnet mask su ogni interfaccia del router, vorrei sapere:
1) quale indirizzo devo dare alle 3 interfacce del firewall come gateway;
2) devo settare qualche altra impostazione all'interno di linux?esempio nat o altro(se si come e cosa)?

Chiedo aiuto sono alle prime armi

WebWolf · 28-10-2007, 08:10

Potresti fare uno schema della rete ?

Non ho ben capito 'ho inserito nella dmz un firewall...'

Di solito è il firewall che splitta le 3 reti. Se poi vuoi ulteriormente aggiungere un altro firewall alla sola dmz devi assegnare da una parte l'ip della dmz e dall'altra un altro ip ed abilitare il forward tra le due nic.

Io o trovo ridondante e uno spreco di soldi

Lo schema classico è il seguente:

dmz (orange)
|
Firewall box ---- Wan (red) --- ISP
|
lan (green)

E lo policy di sicurezza si settano sul firewall. Di solito sono:

- tutto il traffico può uscire sulla red.
- nessun traffico può entrare nella green.
- tutto il traffico dalla green può andare alla orange.
- dalla red solo il traffico 80/25/103 (siti e posta) può andare alla orange.

Poi se si hanno servizi particolari occorre settare le catene di conseguenza.

HexDEF6 · 28-10-2007, 13:50

dai un'occhiata all'howto in firma

poi se ti serve altro chiedi

Mr.Bano · 28-10-2007, 16:15

Piuttosto di un firewall in DMZ dovresti ragionare come se ogni pc/server fosse firewall di se stesso casomai.

Se poi (come mi sembra) stai cercando una protezione forte e se hai risorse (e traffico a go-go) potresti fare tipo:

internet
|
firewall
|
switch DMZ -- server
|
firewall
|
lan

Ma forse è giusto un po' esagerata questa

Comunque sia, giusto per risponderti, se almeno ho capito (che non sono poi nemmeno tanto sicuro):

lan -> 10.0.0.254
dmz -> 10.0.0.1
wan -> 10.0.0.1

@HexDEF6: Ma che bella guida hai realizzato, complimenti! ^^

27-10-2007, 22:11	#1
globalace Junior Member Iscritto dal: Sep 2007 Messaggi: 25	Dmz, lan, wan costruzione firewall Mi sto esercitando con configurazioni di reti, vlan firewall ecc. Ho creato una rete con una lan una dmz e una wan. la wan ha ip 10.0.0.0/8 la dmz 192.168.17.0/24 la lan 192.168.18.0/24 ho inserito nella dmz un firewall con 3 interfacce e con ip: interfaccia lan 192.168.18.254 interfaccia dmz 192.168.17.254 interfaccia wan 10.0.0.254 connessa all'interfaccia router 10.0.0.1 il firewall è stato implementato con iptables 1.3.5. Una volta configurate le vlan sullo switch (correttamente sono state verificate), una volta impostati gli ip e le subnet mask su ogni interfaccia del router, vorrei sapere: 1) quale indirizzo devo dare alle 3 interfacce del firewall come gateway; 2) devo settare qualche altra impostazione all'interno di linux?esempio nat o altro(se si come e cosa)? Chiedo aiuto sono alle prime armi

28-10-2007, 08:10	#2
WebWolf Senior Member Iscritto dal: Nov 2004 Città: Reggio Emilia e dintorni Messaggi: 3726	Potresti fare uno schema della rete ? Non ho ben capito 'ho inserito nella dmz un firewall...' Di solito è il firewall che splitta le 3 reti. Se poi vuoi ulteriormente aggiungere un altro firewall alla sola dmz devi assegnare da una parte l'ip della dmz e dall'altra un altro ip ed abilitare il forward tra le due nic. Io o trovo ridondante e uno spreco di soldi Lo schema classico è il seguente: dmz (orange) \| Firewall box ---- Wan (red) --- ISP \| lan (green) E lo policy di sicurezza si settano sul firewall. Di solito sono: - tutto il traffico può uscire sulla red. - nessun traffico può entrare nella green. - tutto il traffico dalla green può andare alla orange. - dalla red solo il traffico 80/25/103 (siti e posta) può andare alla orange. Poi se si hanno servizi particolari occorre settare le catene di conseguenza. __________________ Open CD ITA - Open DVD ITA - Linux da Zero - RFC1925 - O.S.: Debian & Slackware - Rule #1: It has to work ! AVERE DELLE CONOSCENZE E NON CONDIVIDERLE E' COME NON AVERE NULLA

28-10-2007, 13:50	#3
HexDEF6 Senior Member Iscritto dal: Dec 2000 Città: Trento Messaggi: 5917	dai un'occhiata all'howto in firma poi se ti serve altro chiedi __________________ Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ

28-10-2007, 16:15	#4
Mr.Bano Member Iscritto dal: Jan 2005 Città: Vicenza Messaggi: 191	Piuttosto di un firewall in DMZ dovresti ragionare come se ogni pc/server fosse firewall di se stesso casomai. Se poi (come mi sembra) stai cercando una protezione forte e se hai risorse (e traffico a go-go) potresti fare tipo: internet \| firewall \| switch DMZ -- server \| firewall \| lan Ma forse è giusto un po' esagerata questa Comunque sia, giusto per risponderti, se almeno ho capito (che non sono poi nemmeno tanto sicuro): lan -> 10.0.0.254 dmz -> 10.0.0.1 wan -> 10.0.0.1 @HexDEF6: Ma che bella guida hai realizzato, complimenti! ^^

Strumenti
Mostra una versione stampabile Invia questa pagina per email