[IPCop]Red + Green + Orange

[RaouL_BennetH]

Ciao a tutti

Vorrei se possibile qualche consiglio su come configurare al meglio il firewall.

Vi elenco cosa sono riuscito a fare fino ad ora:

Installazione completata senza problemi.

Configurato la RED in modalità DHCP
Configurato la GREEN con ip statico ma che funzioni da DHCP per i pc interni
Configurato la ORANGE con ip statico.

Queste risultano essere quindi le configurazioni attuali:

Codice:

RED = DHCP
GREEN = 192.168.1.1 
ORANGE = 192.168.10.1

Ora, alla GREEN sono collegati tutti i pc interni della rete e, questi ultimi, hanno ip dinamico.

Alla ORANGE, sono collegati due server:

1) 192.168.10.25 Postgresql (mi serve come database)

2) 192.168.10.26 una web application appositamente realizzata

Ora... le domande:

1) Per quanto concerne la GREEN: Non devo fare nessuna configurazione particolare per farli uscire su internet e per proteggerli ? Cioè, mi basta che ci sia IPCop collegato sulla RED ?

2) Per quanto concerne la ORANGE:
Credo di aver capito come accettare connessioni solo da determinati IP esterni, ma non credo di aver capito come farli raggiungere anche dai pc presenti sulla GREEN. Ho letto sul sito ufficiale che dovrei settare DMZ PinHoles, ma sinceramente non ci ho capito molto



Avrei ancora molte domande, ma, per il momento mi accontenterei di superare bene questi primi due ostacoli.

Grazie in anticipo a tutti

RaouL.

[WebWolf]

Sono più pratico si Smoothwall, ma dovrebbero funzionare alla stessa maniera.

Di deafault tutti i pc ella verde possono raggiungere sia la red che la orange.
Tutto ciò che entra dalla red può solo raggiungere la orange (a meno di policy diverse configurate a mano).

Il mio dubbio è solo perchè la red è in dhcp ? Se è collegata ad un modem/router, imposta un ip fisso a amen. Di solito il dhcp (se si vuole) lo si mette nella green, anche perchè, se i tuoi pc hanno ip dimanico, come lo scelgono ?

Prova anche a legere qui:

http://www.openlinux.eu/content/view/94/36/

[RaouL_BennetH]

Quote:

Originariamente inviato da WebWolf

Sono più pratico si Smoothwall, ma dovrebbero funzionare alla stessa maniera.

Di deafault tutti i pc ella verde possono raggiungere sia la red che la orange.
Tutto ciò che entra dalla red può solo raggiungere la orange (a meno di policy diverse configurate a mano).

Il mio dubbio è solo perchè la red è in dhcp ? Se è collegata ad un modem/router, imposta un ip fisso a amen. Di solito il dhcp (se si vuole) lo si mette nella green, anche perchè, se i tuoi pc hanno ip dimanico, come lo scelgono ?

Prova anche a legere qui:

http://www.openlinux.eu/content/view/94/36/

Ciao

Ho dovuto impostare sulla red dhcp perchè il tipo di router che ci è stato fornito non accetta configurazioni con ip statici.

RaouL.

[WebWolf]

Quote:

Originariamente inviato da RaouL_BennetH

Ciao

Ho dovuto impostare sulla red dhcp perchè il tipo di router che ci è stato fornito non accetta configurazioni con ip statici.

RaouL.

Fastweb ?

[RaouL_BennetH]

Quote:

Originariamente inviato da WebWolf

Fastweb ?

No

Vodafone

Non è stata colpa mia...

I dirigenti dell'azienda hanno acquistato un pacchetto completo per fonia mobile/fissa e adsl.

[RaouL_BennetH]

...

E' un disastro

Non funziona nulla

Allora, la RED è in dhcp collegata con il router

La GREEN ha: 192.168.1.10 e c'è il dhcp abilitato per i pc interni con range 192.168.1.11/254

Al momento della ORANGE posso fregarmene.

Quello che non capisco è:

Finita la configurazione iniziale, dove trovo informazioni su cosa configurare una volta connessomi alla pagina web?

La maggior parte delle guide si ferma su:

La configurazione è terminata e il vostro firewall è pronto!

Grazie mille.

RaouL.

[WebWolf]

1) Se appiccichi un pc con dhcp alla green, si autoconfigura ? Con ipconfig / ifconfig lo prende un ip di rete ?

2) In caso affermativo alla domanda 1), navighi ? Pinghi qualcosa all'esterno/interno ?

3) Per la configurazione, di solito ci sono le linguette per scegliere cosa configurare:

[RaouL_BennetH]

Quote:

Originariamente inviato da WebWolf

1) Se appiccichi un pc con dhcp alla green, si autoconfigura ? Con ipconfig / ifconfig lo prende un ip di rete ?

Si, il pc prende correttamente un ip.

Quote:

2) In caso affermativo alla domanda 1), navighi ? Pinghi qualcosa all'esterno/interno ?

Pingo solo l'ip della green. All'esterno nulla.

Quote:

3) Per la configurazione, di solito ci sono le linguette per scegliere cosa configurare:

Uhm.. e qui ci ho capito poco.
La prima cosa di cui vorrei occuparmi subito dopo essere riuscito a far navigare i pc della green sarebbe di disabilitare l'accesso dall'esterno per tutti gli indirizzi internet. Cioè, ho letto che di default :

Quote:

The External Access page has NO affect on the GREEN or ORANGE networks. It is there to allow you to open ports to the IPCop box itself and not the GREEN or ORANGE networks.

How do you open up external access then? It is combined into the Port Forward page - there is a field on the page labeled:

'Source IP, or network (blank for "ALL"):'

This is the field that controls external access - if you leave it BLANK, your port forward will be open to ALL INTERNET ADDRESSES. Alternatively if you put an address or network in there, it will be restricted to that network or Internet address.

Ora, se io metto solamente un ip prefissato in questa sezione, automaticamente non darà l'accesso a tutti gli altri?

Grazie mille

RaouL.

[RaouL_BennetH]

Piccola news:

il provider mi ha assegnato un ip pubblico.

adesso, come dovrei riconfigurare l'interfaccia red?

Grazie mille

RaouL.

[RaouL_BennetH]

Niente da fare... non esce niente:

sulla RED come trovato in mille guide ho messo l'ip fornitomi dal provider, per es.:

ip = 80.80.80.80
subnet = 255.255.255.248 (datami dal provider)

dns > i dns forniti dal provider
gateway > 80.80.80.79

Ovviamente gli ip non sono quelli reali.

Non so dove sbattere la testa !!

[RaouL_BennetH]

Ok, almeno adesso navigo. Mi avevano dato l'ip del gateway errato

[RaouL_BennetH]

Ok, funziona tutto anche la Orange !!

Mi è rimasta un'ultima domanda:

Come posso fare per :

Le connessioni dall'esterno alla orange possano essere fatte solo da ip esterni noti?

Grazie mille.

RaouL.

[WebWolf]

Quote:

Originariamente inviato da RaouL_BennetH

Ok, funziona tutto anche la Orange !!

Mi è rimasta un'ultima domanda:

Come posso fare per :

Le connessioni dall'esterno alla orange possano essere fatte solo da ip esterni noti?

Grazie mille.

RaouL.

Beh, no. E' il tuo che deve essere noto aglia altri, oppure devi aver registrato il dominio ed avere un record dns che punti al tuo ip.
L'unica cosa da controllare è se devi indirizzare le richieste verso i pc della orange, oppure se è già tutto indirizzato di default.

Esempio, se tu hai un server web (porta 80) su un pc della orange, se uno digita nel browser 'iltuonome.aaa' o l'ip, deve essere indirizzato al pc che ha il server web attivo. Verifica solo se di default le richieste esterne sono girate in modo indiscrimonato alla orange o se devi impostare qualche policy.

[RaouL_BennetH]

Quote:

Originariamente inviato da WebWolf

Beh, no. E' il tuo che deve essere noto aglia altri, oppure devi aver registrato il dominio ed avere un record dns che punti al tuo ip.
L'unica cosa da controllare è se devi indirizzare le richieste verso i pc della orange, oppure se è già tutto indirizzato di default.

Esempio, se tu hai un server web (porta 80) su un pc della orange, se uno digita nel browser 'iltuonome.aaa' o l'ip, deve essere indirizzato al pc che ha il server web attivo. Verifica solo se di default le richieste esterne sono girate in modo indiscrimonato alla orange o se devi impostare qualche policy.

Mmm... questo è un bel problema allora.

Mi spiego:

Abbiamo in sede un AS400; questo server è dotato di 4 interfacce di rete per distribuire al meglio il carico. Inoltre: su questo server arrivano connessioni da 4 regioni diverse di Italia.

E ancora:
Il software che gira su AS400 ha un numero di porta predeterminato.

A me servirebbe che, a seconda dell'ip che si collega da remoto, il firewall mi giri la richiesta su una determinata scheda di rete del server.

In 'pseudo codice':

Codice:

ip esterno = 61.61.61.61  porta 80
ipcop-> 192.168.1.10:8787

ip esterno=76.76.76.76 porta 80
ipcop-> 192.168.1.11:8787

Grazie mille

RaouL.

[RaouL_BennetH]

Ok, ho visto che si può superare anche questo ostacolo facendo l'alias per gli ip e creando delle regole nella sezione port-forwarding.

Ora però ho quest'altro problema:

Con un amico da remoto sto provando a farlo accedere.

Ho fatto così:

Creato l'alias per l'ip;
in port-forwarding ho scelto l'alias e come porta di origine ho messo la 80
(il mio amico da remoto deve entrare sul server mediante il web)

e come ip di destinazione ho messo l'ip interno del server e la porta di destinazione: 21000.

Beh, non riesce ad entrare ....

Dove sbaglio?

Grazie mille

RaouL.