[IPTABLES] - Sistema firewall avanzato

[Marco1980]

Ciao a tutti,
fotografia della situazione:

- una lan privata (LAN1) (192.168.1.0/24)
- firewall CentOS con 7 schede di rete (192.168.1.1) (eth0)
- altra lan privata (LAN2) per collegamento punto-punto in fibra con uscita RJ45 (192.168.133.224/27)
- collegamento LAN2 su eth5 del firewall (192.168.133.228)
- DMZ con alcuni servizi

Considerate solo l'ulteriore eth6 da utilizzare con l'indirizzo 192.168.133.254 (esempio) e tralasciate le altre ethX, così come la DMZ.

Alcuni pc di LAN1 dovranno riuscire a contattare 192.168.133.225/226/227 passando per 192.168.133.228 (192.168.133.254 -> 192.168.133.228?) della LAN2.
NAT statico per ogni indirizzo LAN1 su indirizzo LAN2?

Voi come configurereste il tutto?
Mi serve l'input.. sono un po' confuso e ho poche informazioni per ora..

Grazie!!

[cacao74]

Originariamente inviato da Marco1980
Considerate solo l'ulteriore eth6 da utilizzare con l'indirizzo 192.168.133.254

non mi convince molto l'uso di un IP della subnet2 sulla eth6, visto che ha gia' un IP sulla eth5
credo che dia problemi in fase di instradamento pacchetti

[Marco1980]

Ok, quindi posso/devo reinderizzare tutto il traffico destinato alla LAN2 sull'interfaccia eth5.

Ad oggi non conosco ancora le porte e i servizi da utilizzare sulla LAN2 quindi vorrei permettere tutto il traffico sulla LAN2 (a dir la verità dall'altra parte ci saranno 3 firewall a fare il resto del lavoro, ma non è un problema mio per fortuna).

Quindi: se un pc della LAN1 fa una richiesta ad un indirizzo della LAN2: il pc contatta il firewall sulla eth0 (LAN1) con IP1 (LAN1), IP1 viene modificato in IP2 (LAN2) e il traffico reinderizzato su eth5..
Qualche dritta?

Grazie!!

[gigyz]

Originariamente inviato da Marco1980
Ciao a tutti,
fotografia della situazione:

- una lan privata (LAN1) (192.168.1.0/24)
- firewall CentOS con 7 schede di rete (192.168.1.1) (eth0)
- altra lan privata (LAN2) per collegamento punto-punto in fibra con uscita RJ45 (192.168.133.224/27)
- collegamento LAN2 su eth5 del firewall (192.168.133.228)
- DMZ con alcuni servizi

Considerate solo l'ulteriore eth6 da utilizzare con l'indirizzo 192.168.133.254 (esempio) e tralasciate le altre ethX, così come la DMZ.

Alcuni pc di LAN1 dovranno riuscire a contattare 192.168.133.225/226/227 passando per 192.168.133.228 (192.168.133.254 -> 192.168.133.228?) della LAN2.
NAT statico per ogni indirizzo LAN1 su indirizzo LAN2?

Voi come configurereste il tutto?
Mi serve l'input.. sono un po' confuso e ho poche informazioni per ora..

Grazie!!

Per me questa configuazione non ha alcun senso, non si posso avere 7 eth e poi assegnare a tutte indirizzi della stessa subnet, la cosa non ha alcun senso logico (anche se tecnicamente fattibile). Non ha nemmeno senso dire collegamento punto-punto (192.168.133.224/27) il punto-punto è un /32 altrimenti non è un punto punto.
Detto ciò, quello che vorresti si può fare ma devi configurare opportunamente la tabella di routing su ogni host della rete oltre che sul firewall. Ne vale la pena ? Secondo me fai prima a riorganizzare la rete in modo decente.

[Marco1980]

Originariamente inviato da gigyz
Per me questa configuazione non ha alcun senso, non si posso avere 7 eth e poi assegnare a tutte indirizzi della stessa subnet, la cosa non ha alcun senso logico (anche se tecnicamente fattibile). Non ha nemmeno senso dire collegamento punto-punto (192.168.133.224/27) il punto-punto è un /32 altrimenti non è un punto punto.
Detto ciò, quello che vorresti si può fare ma devi configurare opportunamente la tabella di routing su ogni host della rete oltre che sul firewall. Ne vale la pena ? Secondo me fai prima a riorganizzare la rete in modo decente.

Lo so.. tengo a precisare soltanto che le sette schede non avranno tutte indirizzi con la stessa subnet. Ma questo è il problema minore.
Per il punto-punto.. non è un punto-punto. Ok.

Purtroppo una riorganizzazione completa della rete ad oggi non è fattibile. Questo è un lavoro ereditato e non posso fare più di tanto.. a parte i salti mortali con questo firewall.
In futuro cercherò di rivedere il tutto.

Posso semplificare le cose però.. solo due schede di rete (tralasciando le atre schede che sono state installate per servizi accessori):

- eth0 (LAN1, rete interna dell'ufficio)
- eth1 (LAN2, seconda rete /27)

Secondo te come potrei risolvere il problema in maniera pulita?
I pc dovranno poter lavorare sulla LAN1 con indirizzi della LAN1 e ogni qual volta venga richiesta una risorsa della LAN2 utilizzare la eth1 con uno degli indirizzi LAN2.

Puoi darmi una mano?

Grazie

[cacao74]

Secondo me, come diceva anche gigyz, ti conviene pianificare meglio la rete adesso che una volta che darai servizio, "nessuno" ti permettera' di fare variazioni...

il mio suggerimento e' di usare una subnet differente per ogni eth fisica
e valutare bene l'instradamento dei pacchetti.

[Marco1980]

Avete ragione ragazzi, il problema è che la prossima settimana, almeno questa parte dovrà essere funzionante.. e di fermare adesso una cinquantina di persone non se ne parla. Non vi dico tutto quello che c'è dietro.

Chiedo a voi, sicuramente più esperti di me, se è possibile fare quanto detto con iptables e avere qualche info in più.

Ripeto.. per un po' utilizzerò solo due eth.

Grazie

[gigyz]

Per fare quello che hai intenzione di fare devi impostare innanzitutto delle route statiche sul firewall in maniera che i pacchetti vengano instradati correttamente sull'eth giusta, fatto questo basta abilitare il forwarding fra le interfacce e poi settare su ciascun host il routing in maniera tale che ogni host per contattare un altro host appartenente a una LAN diversa usi per quell'IP come gateway l'IP della sheda a cui è attaccata la LAN dell'host da raggiungere, questo va fatto per ogni host.
Spero di essere stato chiaro ma sono convinto del contrario

[Marco1980]

Originariamente inviato da gigyz
Per fare quello che hai intenzione di fare devi impostare innanzitutto delle route statiche sul firewall in maniera che i pacchetti vengano instradati correttamente sull'eth giusta, fatto questo basta abilitare il forwarding fra le interfacce e poi settare su ciascun host il routing in maniera tale che ogni host per contattare un altro host appartenente a una LAN diversa usi per quell'IP come gateway l'IP della sheda a cui è attaccata la LAN dell'host da raggiungere, questo va fatto per ogni host.
Spero di essere stato chiaro ma sono convinto del contrario

Ciao..
Sto impostando il tutto proprio in questo modo.
Le route statiche sui pc non mi piacciono molto ma per ora è l'unica soluzione.
Chiaro, chiaro..

Grazie ancora,
Marco