PDA

Visualizza la versione completa : Una domanda su DMZ


Meskalamdug
14-04-2012, 17:47
Ho impostato bene il firewal con iptables per dmz

la rete cos composta
eth0 esterna 192.168.0.254
eth1 lan interna 192.168.1.0/24
eth2 dmz 192.168.2.2(su questo ip gira il server web)

Una domandina, possibile accedere alla dmz da eth0?Sto facendo dei test
ma quando provo ad accedere da eth0 la connessione come se fosse
droppata :|

pilovis
15-04-2012, 11:57
cosa significa "eth0 esterna 192.168.0.254"?
Esterna vuole dire rete pubblica? Non capisco ...

Chi fa il gateway? Il router, oppure e' tutto su una unica macchina?

Come hai impostato i netmask?
Hai provato a fare una rotta statica dalla rete eth0 a quella eth2?

Ho bisogno di capire meglio come e' impostata la rete.

Dascos
15-04-2012, 13:04
Originariamente inviato da pilovis
cosa significa "eth0 esterna 192.168.0.254"?
Esterna vuole dire rete pubblica? Non capisco ...

Chi fa il gateway? Il router, oppure e' tutto su una unica macchina?

Come hai impostato i netmask?
Hai provato a fare una rotta statica dalla rete eth0 a quella eth2?

Ho bisogno di capire meglio come e' impostata la rete.
Da ci che interpreto la situazione cos.
eth0 va al router/modem ed (probabilmente) in /32 (rete .0.x)
eth1 va alla rete interna ed interfaccia di routing per la Lan, infatti sta in /24 e non avrebbe senso fosse altrimenti e sta su una rete differente (rete .1.x)
eth2 DMZ, probabilmente anche questa in /32, ed anch'essa in rete differente (.2.x).

Le tre reti sono quindi differenti come giusto che sia su una macchina che fa da router/firewall.
Ora, per poter vedere la DMZ dalla LAN, sebbene NON sia proprio una cosa accettabile dal lato sicurezza, dovresti solo impostare una rotta statica di questo tipo


route add -net 192.168.2.2 netmask 255.255.255.255 dev eth2

e ovviamente creare apposite regole di firewall per impedire il percorso inverso SE non iniziato dal lato LAN, o se preferisci vederla da un altro punto di vista, per concedere pacchetti dalla DMZ alla LAN solo in risposta a pacchetti iniziati lato LAN.

Piccolo consiglio. Esistono delle distro fatte apposta per svolgere il compito di router/firewall/NAT, per esempio zeroshell, IPCoP, Floppyfw e altre. Prova usando una di queste, ti rendono la vita pi facile ;)

:old: :ciauz:

Meskalamdug
15-04-2012, 19:36
Vi ringrazio per i consigli.
Stavo facendo dei test,al solo scopo di verificare che avessi messo bene
il firewall,ma facendoli su una macchina virtuale :fagiano: e non avendo
un ip pubblico(effettivamente il termine esterna un po azzardato)
volevo testare la dmz dalla lan.

wartpro
15-04-2012, 20:42
Posso chiederti se stai utilizzando 3 schede di rete differenti?
Posso chiederti anche se bisogna avere NECESSARIAMENTE 3 schede di rete per avere 3 tipi di rete differenti o se oppure ne basta 1 (o 2) per avere 3 tipi di rete differenti?

:fagiano:

Meskalamdug
15-04-2012, 20:54
Originariamente inviato da wartpro
Posso chiederti se stai utilizzando 3 schede di rete differenti?
Posso chiederti anche se bisogna avere NECESSARIAMENTE 3 schede di rete per avere 3 tipi di rete differenti o se oppure ne basta 1 (o 2) per avere 3 tipi di rete differenti?

:fagiano:
Ovviamente 3.
Puoi fare degli alias ma se vuoi gestire delle reti complesse in azienda,come
tu stai per fare metti almeno 2 schede.
Una esterna e una per la lan interna.
Se fai girare tutto su una lan(interna e esterna) la sicurezza ne risente,
la terza scheda per dmz,se devi offrire dei servizi pubblici(webserver
ad esempio) direi che un ottima soluzione per la sicurezza.

Meskalamdug
15-04-2012, 20:56
Comunque guarda che con 2 schede facile,puoi mettere come suggeriscono sopra
una distro adatta per fw/nat.
Ma io che sono testardo e voglio imparare preferisco mettere una bella slackware che funga
da nat/fw o una centos ;)
Il malditesta aumenta..ma anche la conoscenza.

Loading