Ho impostato bene il firewal con iptables per dmz
la rete è così composta
eth0 esterna 192.168.0.254
eth1 lan interna 192.168.1.0/24
eth2 dmz 192.168.2.2(su questo ip gira il server web)
Una domandina,è possibile accedere alla dmz da eth0?Sto facendo dei test
ma quando provo ad accedere da eth0 la connessione è come se fosse
droppata :|
cosa significa "eth0 esterna 192.168.0.254"?
Esterna vuole dire rete pubblica? Non capisco ...
Chi fa il gateway? Il router, oppure e' tutto su una unica macchina?
Come hai impostato i netmask?
Hai provato a fare una rotta statica dalla rete eth0 a quella eth2?
Ho bisogno di capire meglio come e' impostata la rete.
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
Da ciò che interpreto la situazione è così.Originariamente inviato da pilovis
cosa significa "eth0 esterna 192.168.0.254"?
Esterna vuole dire rete pubblica? Non capisco ...
Chi fa il gateway? Il router, oppure e' tutto su una unica macchina?
Come hai impostato i netmask?
Hai provato a fare una rotta statica dalla rete eth0 a quella eth2?
Ho bisogno di capire meglio come e' impostata la rete.
eth0 va al router/modem ed è (probabilmente) in /32 (rete .0.x)
eth1 va alla rete interna ed è interfaccia di routing per la Lan, infatti sta in /24 e non avrebbe senso fosse altrimenti e sta su una rete differente (rete .1.x)
eth2 è DMZ, probabilmente anche questa in /32, ed è anch'essa in rete differente (.2.x).
Le tre reti sono quindi differenti come è giusto che sia su una macchina che fa da router/firewall.
Ora, per poter vedere la DMZ dalla LAN, sebbene NON sia proprio una cosa accettabile dal lato sicurezza, dovresti solo impostare una rotta statica di questo tipo
e ovviamente creare apposite regole di firewall per impedire il percorso inverso SE non iniziato dal lato LAN, o se preferisci vederla da un altro punto di vista, per concedere pacchetti dalla DMZ alla LAN solo in risposta a pacchetti iniziati lato LAN.codice:route add -net 192.168.2.2 netmask 255.255.255.255 dev eth2
Piccolo consiglio. Esistono delle distro fatte apposta per svolgere il compito di router/firewall/NAT, per esempio zeroshell, IPCoP, Floppyfw e altre. Prova usando una di queste, ti rendono la vita più facile
Vi ringrazio per i consigli.
Stavo facendo dei test,al solo scopo di verificare che avessi messo bene
il firewall,ma facendoli su una macchina virtualee non avendo
un ip pubblico(effettivamente il termine esterna è un po azzardato)
volevo testare la dmz dalla lan.
Posso chiederti se stai utilizzando 3 schede di rete differenti?
Posso chiederti anche se bisogna avere NECESSARIAMENTE 3 schede di rete per avere 3 tipi di rete differenti o se oppure ne basta 1 (o 2) per avere 3 tipi di rete differenti?
Ovviamente 3.Originariamente inviato da wartpro
Posso chiederti se stai utilizzando 3 schede di rete differenti?
Posso chiederti anche se bisogna avere NECESSARIAMENTE 3 schede di rete per avere 3 tipi di rete differenti o se oppure ne basta 1 (o 2) per avere 3 tipi di rete differenti?
Puoi fare degli alias ma se vuoi gestire delle reti complesse in azienda,come
tu stai per fare metti almeno 2 schede.
Una esterna e una per la lan interna.
Se fai girare tutto su una lan(interna e esterna) la sicurezza ne risente,
la terza scheda è per dmz,se devi offrire dei servizi pubblici(webserver
ad esempio) direi che è un ottima soluzione per la sicurezza.
Comunque guarda che con 2 schede è facile,puoi mettere come suggeriscono sopra
una distro adatta per fw/nat.
Ma io che sono testardo e voglio imparare preferisco mettere una bella slackware che funga
da nat/fw o una centos
Il malditesta aumenta..ma anche la conoscenza.
Permessi di invio
Rispondi quotando