LAN Aziendale, tanti IP fissi, DMZ ed un firewall

Mic · 24-09-2003, 16:12

Salve a tutti!
Ho un problema che non riesco a risolvere.
Nell'azienda dove lavoro hanno un contratto Interbusiness con 8 IP fissi ed 1 router Pirelli uB (credo).

Il router è configurato in modo tale per cui è presente una rete "nattata" 192.168.2.X che permette ad una LAN di una ventina di PC di andare su internet (senza firewall in mezzo, solo hub).

Se però si attacca al router un PC (server FTP, per esempio) configurato con un IP pubblico a caso tra quelli forniti dal provider, questo è raggiungibile direttamente dall'esterno.

Ora, qui in azienda vorrebbero mettere un firewall LINUX tra il router e la lan, e su di una terza scheda di rete del fw una DMZ con 2 server (tra cui quello FTP di cui sopra).

Il problema principale è che non possiamo accedere alla configurazione del router Pirelli.

IP Router 192.168.2.1
IP Firewall 192.168.2.17 sulla sua *eth0*

la LAN la vorremmo mettere su *eth1* con indirizzi 10.0.0.X
la DMZ con mappatura 1:1 dei servizi su 10.10.0.X (*eth2*)

in modo tale che la richiesta FTP su un certo indirizzo pubblico sia mappata sull'IP del server nella DMZ ("zona demilitarizzata")

Abbiamo dei problemi su come procedere per "intercettare" gli IP pubblici.
Personalmente pensavo di creare degli IP alias sulla eth0

in modo da avere

eth0:0 -> 192.168.2.17
eth0:1 -> IP Pubblico1
eth0:2 -> IP Pubblico2
.
.
eccetera
e mettere delle regole su IPTABLES per mappare IP e PORT verso indirizzi DMZ 10.10.0.X:21 (esempio per l'ftp), 10.10.0.Y:80 (HTTP).

E' giusto come modo di procedere? In azienda si discute se il router "natti" gli IP pubblici sulla rete privata 192.168.2.X o meno (secondo altri si, secondo me no).

Io credo che nat e routing nel Pirelli siano slegati, e che dal router escano pacchetti con destinazione "IP pubblico" e "IP_LAN" contemporaneamente, e che semplicemente i vari PC connessi in rete non li vedano per via dei vari netmask ecc.

Mi sbaglio?

Thx in anticipo per l'aiuto!

Mic · 24-09-2003, 16:14

Eventualmente, oltre a configurare gli alias, devo modificare qualcosa con "route"?

P.S.: mi sono studiato questo HOW-TO, ed infatti sto usando una versione modificata dello script consigliato...

http://iptables-tutorial.frozentux.n...-tutorial.html

Mic · 24-09-2003, 19:30

azz!! Nessuno mi può aiutare?

Mic · 25-09-2003, 10:24

Azz.... vabbè uppo per scrupolo per l'ultima volta...

gohan · 25-09-2003, 11:23

scusa una cosa, ma perchè non vi comprate un router vostro così lo potete configurare?
O eventualmentefate fare da router al firewall linux.
Che connessione avete?

Mic · 25-09-2003, 16:06

Non te lo so dire bene perchè lavoro qui da 2 settimane (anzi, a dirla tutta è uno stage).

Serviva qualcuno che conoscesse IPTables, e fin qui tutto ok... ma da qui a fare ipotesi sul funzionamento del router senza sapere come sia configurato.....

Purtroppo non godo della libertà di azione che vorrei (giustamente)....

Sai per caso se IPTables funziona con gli IP alias?

Athlon · 25-09-2003, 16:26

IPtables puo' fare praticamente di tutto ed e' tranquillamente in grado di attivare interfaccie virtuali con diversi indirizzi IP sulla stessa scheda fisica

Mic · 26-09-2003, 10:09

Ok thx!! Proverò di nuovo!!

24-09-2003, 16:12	#1
Mic Member Iscritto dal: Sep 2001 Città: Roma Messaggi: 102	LAN Aziendale, tanti IP fissi, DMZ ed un firewall Salve a tutti! Ho un problema che non riesco a risolvere. Nell'azienda dove lavoro hanno un contratto Interbusiness con 8 IP fissi ed 1 router Pirelli uB (credo). Il router è configurato in modo tale per cui è presente una rete "nattata" 192.168.2.X che permette ad una LAN di una ventina di PC di andare su internet (senza firewall in mezzo, solo hub). Se però si attacca al router un PC (server FTP, per esempio) configurato con un IP pubblico a caso tra quelli forniti dal provider, questo è raggiungibile direttamente dall'esterno. Ora, qui in azienda vorrebbero mettere un firewall LINUX tra il router e la lan, e su di una terza scheda di rete del fw una DMZ con 2 server (tra cui quello FTP di cui sopra). Il problema principale è che non possiamo accedere alla configurazione del router Pirelli. IP Router 192.168.2.1 IP Firewall 192.168.2.17 sulla sua eth0 la LAN la vorremmo mettere su eth1 con indirizzi 10.0.0.X la DMZ con mappatura 1:1 dei servizi su 10.10.0.X (eth2) in modo tale che la richiesta FTP su un certo indirizzo pubblico sia mappata sull'IP del server nella DMZ ("zona demilitarizzata") Abbiamo dei problemi su come procedere per "intercettare" gli IP pubblici. Personalmente pensavo di creare degli IP alias sulla eth0 in modo da avere eth0:0 -> 192.168.2.17 eth0:1 -> IP Pubblico1 eth0:2 -> IP Pubblico2 . . eccetera e mettere delle regole su IPTABLES per mappare IP e PORT verso indirizzi DMZ 10.10.0.X:21 (esempio per l'ftp), 10.10.0.Y:80 (HTTP). E' giusto come modo di procedere? In azienda si discute se il router "natti" gli IP pubblici sulla rete privata 192.168.2.X o meno (secondo altri si, secondo me no). Io credo che nat e routing nel Pirelli siano slegati, e che dal router escano pacchetti con destinazione "IP pubblico" e "IP_LAN" contemporaneamente, e che semplicemente i vari PC connessi in rete non li vedano per via dei vari netmask ecc. Mi sbaglio? Thx in anticipo per l'aiuto! __________________ Per la cronaca: Celeron2 800 - HD 20+6 Giga. Multiboot W2000/Linux MDK 9

24-09-2003, 16:14	#2
Mic Member Iscritto dal: Sep 2001 Città: Roma Messaggi: 102	Eventualmente, oltre a configurare gli alias, devo modificare qualcosa con "route"? P.S.: mi sono studiato questo HOW-TO, ed infatti sto usando una versione modificata dello script consigliato... http://iptables-tutorial.frozentux.n...-tutorial.html __________________ Per la cronaca: Celeron2 800 - HD 20+6 Giga. Multiboot W2000/Linux MDK 9 Ultima modifica di Mic : 24-09-2003 alle 16:17.

24-09-2003, 19:30	#3
Mic Member Iscritto dal: Sep 2001 Città: Roma Messaggi: 102	azz!! Nessuno mi può aiutare? __________________ Per la cronaca: Celeron2 800 - HD 20+6 Giga. Multiboot W2000/Linux MDK 9

25-09-2003, 10:24	#4
Mic Member Iscritto dal: Sep 2001 Città: Roma Messaggi: 102	Azz.... vabbè uppo per scrupolo per l'ultima volta... __________________ Per la cronaca: Celeron2 800 - HD 20+6 Giga. Multiboot W2000/Linux MDK 9

25-09-2003, 11:23	#5
gohan Senior Member Iscritto dal: Jan 2001 Città: Reggio Emilia Messaggi: 19467	scusa una cosa, ma perchè non vi comprate un router vostro così lo potete configurare? O eventualmentefate fare da router al firewall linux. Che connessione avete? __________________ NO AL RITORNO DEL NUCLEARE Cerco dissipatore HR-05 IFX -Storie dalla sala macchine

25-09-2003, 16:06	#6
Mic Member Iscritto dal: Sep 2001 Città: Roma Messaggi: 102	Non te lo so dire bene perchè lavoro qui da 2 settimane (anzi, a dirla tutta è uno stage). Serviva qualcuno che conoscesse IPTables, e fin qui tutto ok... ma da qui a fare ipotesi sul funzionamento del router senza sapere come sia configurato..... Purtroppo non godo della libertà di azione che vorrei (giustamente).... Sai per caso se IPTables funziona con gli IP alias? __________________ Per la cronaca: Celeron2 800 - HD 20+6 Giga. Multiboot W2000/Linux MDK 9

25-09-2003, 16:26	#7
Athlon Senior Member Iscritto dal: Oct 1999 Messaggi: 3780	IPtables puo' fare praticamente di tutto ed e' tranquillamente in grado di attivare interfaccie virtuali con diversi indirizzi IP sulla stessa scheda fisica __________________ CIAO FABRIZIO .. CORRI TRA LE NUVOLE COME FOSSERO DUNE

26-09-2003, 10:09	#8
Mic Member Iscritto dal: Sep 2001 Città: Roma Messaggi: 102	Ok thx!! Proverò di nuovo!! __________________ Per la cronaca: Celeron2 800 - HD 20+6 Giga. Multiboot W2000/Linux MDK 9

Strumenti
Mostra una versione stampabile Invia questa pagina per email