Re: Implementare una rete Lan (Firewall + proxy)
maurizio wrote: Gateway e router sono la stessa cosa. L'indirizzo gateway da impostare sui win e su linux è l'indirizzo del router, ovvero l'indirizzo attraverso il quale vai su internet. Quando con la linux box fai il ping dell'indirizzo del router, e quello risponde, vuol dire che hai la via aperta verso internet. Lo stesso deve accadere per i win. Però questo avverrà solo se sulla linux box sarà attivato l'ip forwarding quando andrai a scriverti lo script di iptables per gestire l'accesso a Internet della tua sottorete Windows (ovvero cosa consentire e bloccare) ti consiglio di attivare l'ip forwarding (come gia` suggerito) #!/bin/sh # # eth0 pubblica - Linux # eth1 subnet privata - Windows echo 1 /proc/sys/net/ipv4/ip_forward che è controllato attraverso l'iptables. Shorewall ti semplifica la vita perchè gestisce l'iptales che è alquanto complicato (personalmente non sono interessato ora ad imparare iptables, ma ho bisogno che sia configurato correttamente). un semplice file script (iptables.sh) da far partire all'inizio della tua debian box - firewall potrebbe essere: IPTABLES=$(which iptables) $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $IP_PUBBLICO -con-il-quale-vuoi-uscire # # Catena di INPUT. Permetto SOLO ssh sul router sia dall'esterno che dalla mia intranet...alla fine della catena blocco tutto con -j DROP # $IPTABLES -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -j DROP # # Permetto il ping dall'interno verso l'esterno e le connessioni gia` stabilite # $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i eth1 -o eth0 -p icmp -m state --state NEW -j ACCEPT # # Qui definisci cosa permettere alle tue windows-box ... nel caso sotto solo http # $IPTABLES -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -j DROP # Catena di OUTPUT $IPTABLES -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT $IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -j DROP questo dovrebbe funzionare. a questo punto, dai windows, come gia` suggerito, provi con un ping e vedi se risponde...se si, apri il broser e provi a navigare senza proxy (e` trasparente per ilmomento) piu` o meno e` la conf. che uso pure io ... :-) sopero ti sia utile. fabrizio Da win fai ping www.libero.it un pacchetto di dati parte dalla win e va verso 192.168.0.1 (eth1). Il lavoro dell'ip forwarding della linux box è quella di girarlo verso 56.194.36.x, che lo invierà al gateway 56.194.36.12 e da qui al provider etc,etc indirizzo finale. Guarda i comandi route, ifconfig, ifup, ifdown e ...iptatble Gianluca Gargiulo wrote: Scusa, ma il gateway giusto da applicare alle schede di rete quale sarebbe? Il 16/09/05, *maurizio* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] ha scritto: WannaBe wrote: Ho l'esigenza di implementare una nuova rete Lan formata da un server Linux debian e client Windows (per ora 2 o 3). Vi spiego cosa vorrei fare: Innanzitutto il collegamento ad internet è dato da una linea adsl flat connessa ad un router che mi fa anche da switch (4 porte) Il mio server debian mi deve fare da firewall e anche da proxy server in modo da avere maggior controllo sui vari pc windows della rete. Parlando con un amico mi ha detto che per ottenere una cosa simile devo avere due reti logiche separate, e cioè una che va dal router al server debian e uno che va dal server debian alla mia rete lan, quindi due schede di rete, pensavo una con 192.168.x.x e una con 10.1.x.x altrimenti, se sono sulla stessa rete, non riesco a costringere i vari pc a passare attraverso il debian, prima di uscire in internet. Dovrò quindi utilizzare un hub o un altro switch per connettere la mia rete Lan al firewall, non sfruttando le porte libero del router adsl. E' giusto come ragionamento? E una soluzione corretta? Spero di essermi spiegato bene. Ciao Schemino: internet | | ADSL router 56.194.36.12 http://56.194.36.12 (indirizzo statico gateway fornito da | provider) | eth0 56.194.36.x (altro indirizzo statico fornito da provider) Firewall Linux Box eth1 192.168.0.1 http://192.168.0.1rete interna | switch | |--Winzozz1 ( 192.168.0.10 http://192.168.0.10) |---Winzozz2 (192.168.0.9 http://192.168.0.9) |Winzozz3 (192.168.0.8 http://192.168.0.8) |-WinzozzX (192.168.0.x) (l'indirizzo
Re: Implementare una rete Lan (Firewall + proxy)
Gateway e router sono la stessa cosa. L'indirizzo gateway da impostare sui win e su linux è l'indirizzo del router, ovvero l'indirizzo attraverso il quale vai su internet. Quando con la linux box fai il ping dell'indirizzo del router, e quello risponde, vuol dire che hai la via aperta verso internet. Lo stesso deve accadere per i win. Però questo avverrà solo se sulla linux box sarà attivato l'ip forwarding che è controllato attraverso l'iptables. Shorewall ti semplifica la vita perchè gestisce l'iptales che è alquanto complicato (personalmente non sono interessato ora ad imparare iptables, ma ho bisogno che sia configurato correttamente). Da win fai ping www.libero.it un pacchetto di dati parte dalla win e va verso 192.168.0.1 (eth1). Il lavoro dell'ip forwarding della linux box è quella di girarlo verso 56.194.36.x, che lo invierà al gateway 56.194.36.12 e da qui al provider etc,etc indirizzo finale. Guarda i comandi route, ifconfig, ifup, ifdown e ...iptatble Gianluca Gargiulo wrote: Scusa, ma il gateway giusto da applicare alle schede di rete quale sarebbe? Il 16/09/05, *maurizio* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] ha scritto: WannaBe wrote: Ho l'esigenza di implementare una nuova rete Lan formata da un server Linux debian e client Windows (per ora 2 o 3). Vi spiego cosa vorrei fare: Innanzitutto il collegamento ad internet è dato da una linea adsl flat connessa ad un router che mi fa anche da switch (4 porte) Il mio server debian mi deve fare da firewall e anche da proxy server in modo da avere maggior controllo sui vari pc windows della rete. Parlando con un amico mi ha detto che per ottenere una cosa simile devo avere due reti logiche separate, e cioè una che va dal router al server debian e uno che va dal server debian alla mia rete lan, quindi due schede di rete, pensavo una con 192.168.x.x e una con 10.1.x.x altrimenti, se sono sulla stessa rete, non riesco a costringere i vari pc a passare attraverso il debian, prima di uscire in internet. Dovrò quindi utilizzare un hub o un altro switch per connettere la mia rete Lan al firewall, non sfruttando le porte libero del router adsl. E' giusto come ragionamento? E una soluzione corretta? Spero di essermi spiegato bene. Ciao Schemino: internet | | ADSL router 56.194.36.12 http://56.194.36.12 (indirizzo statico gateway fornito da | provider) | eth0 56.194.36.x (altro indirizzo statico fornito da provider) Firewall Linux Box eth1 192.168.0.1 http://192.168.0.1rete interna | switch | |--Winzozz1 ( 192.168.0.10 http://192.168.0.10) |---Winzozz2 (192.168.0.9 http://192.168.0.9) |Winzozz3 (192.168.0.8 http://192.168.0.8) |-WinzozzX (192.168.0.x) (l'indirizzo 56.194.36.12 http://56.194.36.12 è solo di esempio) La configurazione del router, che dipende da quello che dice il provider, forza un pò il resto della configurazione. eth0 ed eth1 sono le schede di rete installate sul pc di linux Per il firewall ho usato shorewall (iptables, a saperlo usare, sarebbe l'ideale). Il proxy non lo vedo indispensabile e non lo uso. Ho installato il dchp server per servire ai pc win la configurazione giusta. Samba mi permette di gestire la rete privata dei win, la condivisione dei file e della stampante. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- Carmine (Gianluca) Gargiulo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Implementare una rete Lan (Firewall + proxy)
WannaBe wrote: Ho l'esigenza di implementare una nuova rete Lan formata da un server Linux debian e client Windows (per ora 2 o 3). Vi spiego cosa vorrei fare: Innanzitutto il collegamento ad internet è dato da una linea adsl flat connessa ad un router che mi fa anche da switch (4 porte) Il mio server debian mi deve fare da firewall e anche da proxy server in modo da avere maggior controllo sui vari pc windows della rete. Parlando con un amico mi ha detto che per ottenere una cosa simile devo avere due reti logiche separate, e cioè una che va dal router al server debian e uno che va dal server debian alla mia rete lan, quindi due schede di rete, pensavo una con 192.168.x.x e una con 10.1.x.x altrimenti, se sono sulla stessa rete, non riesco a costringere i vari pc a passare attraverso il debian, prima di uscire in internet. Dovrò quindi utilizzare un hub o un altro switch per connettere la mia rete Lan al firewall, non sfruttando le porte libero del router adsl. E' giusto come ragionamento? E una soluzione corretta? Spero di essermi spiegato bene. Ciao Schemino: internet | ADSL router 56.194.36.12 (indirizzo statico gateway fornito da provider) | eth0 56.194.36.x (altro indirizzo statico fornito da provider) Firewall Linux Box eth1 192.168.0.1rete interna | switch | |Winzozz1 (192.168.0.10) |Winzozz2 (192.168.0.9) |Winzozz3 (192.168.0.8) |WinzozzX (192.168.0.x) (l'indirizzo 56.194.36.12 è solo di esempio) La configurazione del router, che dipende da quello che dice il provider, forza un pò il resto della configurazione. eth0 ed eth1 sono le schede di rete installate sul pc di linux Per il firewall ho usato shorewall (iptables, a saperlo usare, sarebbe l'ideale). Il proxy non lo vedo indispensabile e non lo uso. Ho installato il dchp server per servire ai pc win la configurazione giusta. Samba mi permette di gestire la rete privata dei win, la condivisione dei file e della stampante. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Implementare una rete Lan (Firewall + proxy)
WannaBe wrote: Ho l'esigenza di implementare una nuova rete Lan formata da un server Linux debian e client Windows (per ora 2 o 3). Vi spiego cosa vorrei fare: Innanzitutto il collegamento ad internet è dato da una linea adsl flat connessa ad un router che mi fa anche da switch (4 porte) Il mio server debian mi deve fare da firewall e anche da proxy server in modo da avere maggior controllo sui vari pc windows della rete. Parlando con un amico mi ha detto che per ottenere una cosa simile devo avere due reti logiche separate, e cioè una che va dal router al server debian e uno che va dal server debian alla mia rete lan, quindi due schede di rete, pensavo una con 192.168.x.x e una con 10.1.x.x altrimenti, se sono sulla stessa rete, non riesco a costringere i vari pc a passare attraverso il debian, prima di uscire in internet. Dovrò quindi utilizzare un hub o un altro switch per connettere la mia rete Lan al firewall, non sfruttando le porte libero del router adsl. E' giusto come ragionamento? E una soluzione corretta? Spero di essermi spiegato bene. Ciao Schemino: internet | | ADSL router 56.194.36.12 (indirizzo statico gateway fornito da | provider) | eth0 56.194.36.x (altro indirizzo statico fornito da provider) Firewall Linux Box eth1 192.168.0.1rete interna | switch | |--Winzozz1 (192.168.0.10) |---Winzozz2 (192.168.0.9) |Winzozz3 (192.168.0.8) |-WinzozzX (192.168.0.x) (l'indirizzo 56.194.36.12 è solo di esempio) La configurazione del router, che dipende da quello che dice il provider, forza un pò il resto della configurazione. eth0 ed eth1 sono le schede di rete installate sul pc di linux Per il firewall ho usato shorewall (iptables, a saperlo usare, sarebbe l'ideale). Il proxy non lo vedo indispensabile e non lo uso. Ho installato il dchp server per servire ai pc win la configurazione giusta. Samba mi permette di gestire la rete privata dei win, la condivisione dei file e della stampante. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Implementare una rete Lan (Firewall + proxy)
Scusa, ma il gateway giusto da applicare alle schede di rete quale sarebbe?Il 16/09/05, maurizio [EMAIL PROTECTED] ha scritto:WannaBe wrote:Ho l'esigenza di implementare una nuova rete Lan formata da un server Linux debian e client Windows (per ora 2 o 3).Vi spiego cosa vorrei fare:Innanzitutto il collegamento ad internet è dato da una linea adsl flatconnessa ad un router che mi fa anche da switch (4 porte) Il mio server debian mi deve fare da firewall e anche da proxy server inmodo da avere maggior controllo sui vari pc windows della rete.Parlando con un amico mi ha detto che per ottenere una cosa simile devo avere due reti logiche separate, e cioè una che va dal router al serverdebian e uno che va dal server debian alla mia rete lan, quindi due schededi rete, pensavo una con 192.168.x.x e una con 10.1.x.x altrimenti, se sonosulla stessa rete, non riesco a costringere i vari pc a passare attraversoil debian, prima di uscire in internet.Dovrò quindi utilizzare un hub o un altro switch per connettere la mia rete Lan al firewall, non sfruttando le porte libero del router adsl.E' giusto come ragionamento? E una soluzione corretta?Spero di essermi spiegato bene.Ciao Schemino:internet||ADSL router56.194.36.12 (indirizzo statico gateway fornito da |provider)|eth0 56.194.36.x(altro indirizzo statico fornito da provider)Firewall Linux Boxeth1 192.168.0.1rete interna|switch||--Winzozz1 ( 192.168.0.10)|---Winzozz2 (192.168.0.9)|Winzozz3 (192.168.0.8)|-WinzozzX (192.168.0.x)(l'indirizzo 56.194.36.12 è solo di esempio)La configurazione del router, che dipende da quello che dice ilprovider, forza un pòil resto della configurazione.eth0 ed eth1 sono le schede di rete installate sul pc di linux Per il firewall ho usato shorewall (iptables, a saperlo usare, sarebbel'ideale).Il proxy non lo vedo indispensabile e non lo uso. Ho installato il dchpserver per servire ai pc win la configurazione giusta. Samba mi permette di gestire la rete privata dei win, la condivisione dei file e dellastampante.--To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]-- Carmine (Gianluca) Gargiulo
Re: Implementare una rete Lan (Firewall + proxy)
Ciao io sto cercando di fare la stessa cosa nella mia azienda. Il fatto che tu debba creare le due reti è giusto, ma credo che la scheda di rete collegate direttamente al router debba avere impostato direttamente l'indirizzo ip pubblico statico, questo ti permette di esternalizzare dei servizi. Io pure sono un pò incasinato, perchè non riesco a capire come fare sta cosa delle configurazioni, visto che chi c'era prima di me ha lasciato una documentazione sulle mappe ip pessima.Il 15/09/05, WannaBe [EMAIL PROTECTED] ha scritto: Ho l'esigenza di implementare una nuova rete Lan formata da un server Linuxdebian e client Windows (per ora 2 o 3). Vi spiego cosa vorrei fare:Innanzitutto il collegamento ad internet è dato da una linea adsl flatconnessa ad un router che mi fa anche da switch (4 porte)Il mio server debian mi deve fare da firewall e anche da proxy server in modo da avere maggior controllo sui vari pc windows della rete.Parlando con un amico mi ha detto che per ottenere una cosa simile devoavere due reti logiche separate, e cioè una che va dal router al server debian e uno che va dal server debian alla mia rete lan, quindi due schededi rete, pensavo una con 192.168.x.x e una con 10.1.x.x altrimenti, se sonosulla stessa rete, non riesco a costringere i vari pc a passare attraverso il debian, prima di uscire in internet.Dovrò quindi utilizzare un hub o un altro switch per connettere la mia reteLan al firewall, non sfruttando le porte libero del router adsl.E' giusto come ragionamento? E una soluzione corretta? Spero di essermi spiegato bene.Ciao--To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]-- Carmine (Gianluca) Gargiulo