[Tech] Un po' di chiarezza sul route

Aldo Podavini a.podavini@mclink.it
Mer 10 Mar 2004 14:11:01 CET



Valerio Montagnani wrote:

>Ciao amici, avrei bisogno di un chiarimento sull'utilizzo di un pc con funzioni di firewall.
>
>supponiamo di avere un pc con due schede eth. a eth0 è associato l'indirizzo aaa.aaa.aaa.aaa e  è l'interfaccia verso la lan. eth1 è quella verso internet con indirizzo bbb.bbb.bbb.bbb, a cui risulta fisicamente collegato un router (indirizzo ccc.ccc.ccc.ccc).
>
>Se voglio fare in modo che i calcolatori della lan vadano su internet tramite il router, dopo aver attraversato il firewall, dovre aggiornare la tabella di routing con questi comandi:
>
>Sui clent della lan:
>route add default gw aaa.aaa.aaa.aaa
>
>Sul firewall
>route add default gw bbb.bbb.bbb.bbb
>route add default gw ccc.ccc.ccc.ccc
>
>in questo modo i pacchetti dei client sanno che per attraversare il firewall bisogna transitare attraverso aaa.aaa.aaa.aaa , hanno una via per attraversare il firewall tramite bbb.bbb.bbb.bbb e infine oltre il firewall, bisogna raggiungere l'interfaccia ccc.ccc.ccc.ccc del router.
>
>E' giusta questa considerazione?
>
>  
>
No, è sbagliata.

Tanto per cominciare la eth1 e il router esterno stanno sulla stessa 
rete, e quindi i loro IP devono essere impostati di conseguenza.
Assumerò che quindi il router esterno, anzichè ccc.ccc.ccc.ccc, sia 
bbb.bbb.bbb.ccc (ipotizzando una netmask a 24 bit).

Sul firewall devi impostare un solo default gateway, il router esterno:
route add default gw bbb.bbb.bbb.ccc

I pacchetti provenienti dai clients vengono quindi inviati al router 
linux attraverso l'interfaccia eth0. Qui il kernel se ne prende cura, e 
se è stato abilitato il forwarding (verificare con cat 
/proc/sys/net/ipv4/ip_forward, che deve restituire "1") provvede a 
ruotarli secondo quanto la sua regola di routing gli dice. Ossia verso 
bbb.bbb.bbb.ccc, e siccome da che la rete bbb.bbb.bbb.bbb/24 è 
accessibile tramite l'interfaccia eth1, li fa uscire da lì.

Spero di essere stato chiaro
Aldo

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        smime.p7s
Tipo:        application/x-pkcs7-signature
Dimensione:  3060 bytes
Descrizione: S/MIME Cryptographic Signature
URL:         <http://lists.linux.it/pipermail/flug-tech/attachments/20040310/0d901ab8/attachment.bin>


Maggiori informazioni sulla lista flug-tech