maurizio wrote: > Gateway e router sono la stessa cosa. L'indirizzo gateway da impostare > sui win e su linux è l'indirizzo del router, ovvero l'indirizzo > attraverso il quale vai su internet. Quando con la linux box fai il ping > dell'indirizzo del router, e quello risponde, vuol dire che hai la via > aperta verso internet. Lo stesso deve accadere per i win. Però questo > avverrà solo se sulla linux box sarà attivato l'ip forwarding
quando andrai a scriverti lo script di iptables per gestire l'accesso a Internet della tua sottorete Windows (ovvero cosa consentire e bloccare) ti consiglio di attivare l'ip forwarding (come gia` suggerito) #!/bin/sh # # eth0 pubblica - Linux # eth1 subnet privata - Windows echo 1 > /proc/sys/net/ipv4/ip_forward che è > controllato attraverso l'iptables. Shorewall ti semplifica la vita > perchè gestisce l'iptales che è alquanto complicato (personalmente non > sono interessato ora ad imparare iptables, ma ho bisogno che sia > configurato correttamente). un semplice file script (iptables.sh) da far partire all'inizio della tua debian box - firewall potrebbe essere: IPTABLES="$(which iptables)" $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $IP_PUBBLICO -con-il-quale-vuoi-uscire # # Catena di INPUT. Permetto SOLO ssh sul router sia dall'esterno che dalla mia intranet...alla fine della catena blocco tutto con -j DROP # $IPTABLES -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -j DROP # # Permetto il ping dall'interno verso l'esterno e le connessioni gia` stabilite # $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i eth1 -o eth0 -p icmp -m state --state NEW -j ACCEPT # # Qui definisci cosa permettere alle tue windows-box ... nel caso sotto solo http # $IPTABLES -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -j DROP # Catena di OUTPUT $IPTABLES -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT $IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -j DROP questo dovrebbe funzionare. a questo punto, dai windows, come gia` suggerito, provi con un ping e vedi se risponde...se si, apri il broser e provi a navigare senza proxy (e` trasparente per ilmomento) piu` o meno e` la conf. che uso pure io ... :-) sopero ti sia utile. fabrizio > Da win fai ping www.libero.it.... un pacchetto di dati parte dalla win e > va verso 192.168.0.1 (eth1). Il lavoro dell'ip forwarding della linux > box è quella di girarlo verso 56.194.36.x, che lo invierà al gateway > 56.194.36.12 e da qui al provider etc,etc.... indirizzo finale. > > Guarda i comandi route, ifconfig, ifup, ifdown e ...iptatble > > Gianluca Gargiulo wrote: > >> Scusa, ma il gateway giusto da applicare alle schede di rete quale >> sarebbe? >> >> Il 16/09/05, *maurizio* <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> > ha >> scritto: >> >> WannaBe wrote: >> >> >Ho l'esigenza di implementare una nuova rete Lan formata da un >> server Linux >> >debian e client Windows (per ora 2 o 3). >> >Vi spiego cosa vorrei fare: >> > >> >Innanzitutto il collegamento ad internet è dato da una linea >> adsl flat >> >connessa ad un router che mi fa anche da switch (4 porte) >> >Il mio server debian mi deve fare da firewall e anche da proxy >> server in >> >modo da avere maggior controllo sui vari pc windows della rete. >> > >> >Parlando con un amico mi ha detto che per ottenere una cosa simile >> devo >> >avere due reti logiche separate, e cioè una che va dal router al >> server >> >debian e uno che va dal server debian alla mia rete lan, quindi >> due schede >> >di rete, pensavo una con 192.168.x.x e una con 10.1.x.x >> altrimenti, se sono >> >sulla stessa rete, non riesco a "costringere" i vari pc a passare >> attraverso >> >il debian, prima di uscire in internet. >> >Dovrò quindi utilizzare un hub o un altro switch per connettere la >> mia rete >> >Lan al firewall, non sfruttando le porte libero del router adsl. >> > >> >E' giusto come ragionamento? E una soluzione corretta? >> >Spero di essermi spiegato bene. >> > >> >Ciao >> > >> > >> > >> > >> >> >> Schemino: >> >> internet >> | >> | >> ADSL router 56.194.36.12 <http://56.194.36.12> (indirizzo statico >> gateway fornito da | >> provider) >> | >> eth0 56.194.36.x (altro indirizzo statico fornito da >> provider) >> Firewall Linux Box >> eth1 192.168.0.1 <http://192.168.0.1> rete interna >> | >> switch >> | >> |--Winzozz1 ( 192.168.0.10 <http://192.168.0.10>) >> |---Winzozz2 (192.168.0.9 <http://192.168.0.9>) >> |----Winzozz3 (192.168.0.8 <http://192.168.0.8>) >> |-----WinzozzX (192.168.0.x) >> >> (l'indirizzo 56.194.36.12 <http://56.194.36.12> è solo di >> esempio....) >> La configurazione del router, che dipende da quello che dice il >> provider, forza un pò il resto della configurazione. >> eth0 ed eth1 sono le schede di rete installate sul pc di linux >> Per il firewall ho usato shorewall (iptables, a saperlo usare, >> sarebbe >> l'ideale). >> Il proxy non lo vedo indispensabile e non lo uso. Ho installato il >> dchp >> server per servire ai pc win la configurazione giusta. Samba mi >> permette >> di gestire la rete privata dei win, la condivisione dei file e della >> stampante. >> >> >> >> >> -- >> To UNSUBSCRIBE, email to [EMAIL PROTECTED] >> <mailto:[EMAIL PROTECTED]> >> with a subject of "unsubscribe". Trouble? Contact >> [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> >> >> >> >> >> -- >> Carmine (Gianluca) Gargiulo > > > > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]