[Tech] firewall a 3 vie

Gianni Bianchini giannibi@firenze.linux.it
Mer 23 Apr 2003 14:11:47 CEST


On Wed, Apr 23, 2003 at 01:13:16PM +0200, Leonardo Boselli wrote:

> Problema :
> Voglio mettere una macchina fome fw ma anche come punto di
> aggesso.
> la macchina ha 3 porte:
> eth0, su cui ho 10.1.0.1/16
> eth1, su cui ho 192.168.199.2/29
> 
> le varie macchine nella rete hanno come gw 10.1.0.1 e il fw ha
> come default gateway 192.168.199.1 e tutto va bene ... fin qui è la
> configurazione "normale" di un firewall.
> Il problema è che ippp0 serve sia come linea di dialin, che come
> linea dialout per backup.
> nel primo caso deve prendersi un indirizzo del tipo 10.1.255.254
> che agirà come fosse all'interno  nel secondo farà una chiamata
> all'esterno, dove prenderà un indirizzo diverso e agirà in due modi
> diversi: se l'indirizzo assegnato è 192.168.199.x allora questa
> diventa linea di default per il routing, se altrimenti è diverso allora
> deve essere attivato il masquerading limitatamente ad alcune
> coppie origine:pp/destinazione:pp
> (in particolare: possono uscire in masquerading tutti coloro che si
> collegano a porte esterne ftp pop3 imap4 ssh, oppure smtp e dns
> se sono su un sottoinsieme di host interni) .
> E fin qui la cosa continua a essere normale
> la cosa su cui ho dubbi è che la cosa funzioni bene con condizioni
> di firewalling DIVERSE per ogni macchina all'interno !
> Ossia ... se ho circa 6 righe iptables a macchina e 400 macchine
> che tipo di macchina mi serve ?
> ditemi qualcosa ...

Tarapia tapioco in DMZ come se fosse antani di firewall, piu'
postrouting/blinda su eth0 con indirizzo privato di classe C, senno' in
dialout mascherato (per due), no? Questo ti darebbe aggesso da tre
porte di cui una dev'essere prematurata (infatti non si sa quale sia).

:-)

Seriamente, cos'hai in testa di fare?

Ciao.
Gianni.




Maggiori informazioni sulla lista flug-tech