[Tech] UTM Firewall

Max maxter@email.it
Gio 10 Set 2009 16:42:36 CEST 

kaifamm ha scritto:

> 1- Metto 6 schede di rete al mio fw zeroshell.
> 1 scheda per HDSL Telecom con ip 10.0.0.1 
> 1 scheda per ADSL Telecom con ip 10.1.1.1
> 1 scheda per ADSL Eutelia con ip 10.2.2.1
> 1 scheda per lan interna  con ip 192.168.0.254
> 1 scheda per l'hotspot (che non ho idea di come funziona)
> 1 scehda di riserva 
> Ora, dubito che riesca a mettere 6 schede su una macchina, altrimenti potrei :

l'hotspot non lo uso...
comunque molto meglio prender un dispositivo esterno, non fosse altro 
che al momento ancora zeroshell non ha interfaccia grafica per la 
gestione dei dispositivi wifi. si può sempre fare da riga di comando, ma 
allora molto meglio usare un access point esterno.
se l'access point sta sulla rete interna devi solo configurare il 
captive portal.... a meno che tu non voglia sicurezza estrema e allora 
potresti configurarlo come ip virtuale su una scheda già esistente e 
configurare una dmz.
quindi 1 scheda in meno.
non so che scheda madre tu voglia comprare ma ormai quasi tutte le 
schede hanno una ethernet integrata e quindi 1 scheda in meno.
se sacrifichi la scheda di riserva sei a tre schede da installare, cosa 
solitamente fattibile con una normale scheda atx. comunque, se vuoi 
procedere con lo schema seguente:

> 1 scheda per lan interna  con ip 192.168.0.254
> 1 scheda per l'hotspot (che non ho idea di come funziona)
> 1 scheda per TUTTI i router Telecom/eutelia con ip 10.0.0.1 
> 1 scehda di riserva 
> i router avrenno ip della stessa famiglia della scheda 10.0.0.1 tutti messi in un hub : 10.0.0.2 - 10.0.0.3 - 10.0.0.4
> Per un totale di 4 schede.
> Funziona ? come faccio poi a stabilire da quale adsl mi viene il traffico visto che mi arriva sempre dalla stessa scheda di rete ?
> Come funziona per le regole di fw ? e come funziona x bilanciare il carico ?

basta configurare il net balancer.
e ovviamente il firewall.

è una cosa abbastanza intuitiva e semplice, sopratutto per il net 
balancer, per il firewall può diventare complesso, ma se ti limiti solo 
ad usare l'adsl per il traffico in uscita e per l'accesso a dei server 
in dmz o anche sulla lan che forniscono servizi 'classici' tipo pop/imap 
smtp o web, basta configurare il port forwarding in :

"router-->virtual server"

il bilanciamento del carico viene fatto in base al peso ('weight') che 
assegni alle varie interfacce

ricorda che se usi servizi esterni crittografati come https ssh ecc. 
ecc. il net balancer può creare problemi e quindi occorre definire delle 
regole nella sezione apposita, per indirizzare tali tipi di traffico su 
di una sola interfaccia.
avevo anche letto sul forum di zeroshell una specie di workaround per 
allungare i tempi assegnati ad una interfaccia, ma non ricordo bene come 
funzionasse.. fai semmai una ricerca sul forum di zs.

ti rimando alla documentazione di zeroshell, che essendo creata da un 
italiano è scritta in italiano, oltretutto semplice e comprensibile :)

ciao

max

Maggiori informazioni sulla lista flug-tech