[Tech] UTM Firewall

kaifamm kaifamm@libero.it
Gio 10 Set 2009 17:00:15 CEST 

Ciao

    ti ringrazio per le dritte. Leggero' le doc ....

L'hotspot lasciamolo perdere per ora....

Forse è il caso di chiarire cosa mi serve :

I servizi che devo gestire sono : 

1- La navigazione verso l'esterno ...... e fin qui...
2- Connessioni dall'asterno : ssh / https / http / pop3 / imap / smtp

I server del secondo punto sono in dmz e/o in rete locale ed esattamente sono 3.

Per bilanciamento io intendo usare un adsl o un'latra a seconda del sirvizio, tipo : imap / pop3 / smtp su ADSL Telecom, ssh / http / https su HDSL Telecom, ecc.

                                      Grazie
 
 

---------- Initial Header -----------

>From      : tech-bounces@firenze.linux.it
To          : "Discussioni tecniche" tech@firenze.linux.it
Cc          : 
Date      : Thu, 10 Sep 2009 16:42:36 +0200
Subject : Re: [Tech] UTM Firewall







> kaifamm ha scritto:
> 
> > 1- Metto 6 schede di rete al mio fw zeroshell.
> > 1 scheda per HDSL Telecom con ip 10.0.0.1 
> > 1 scheda per ADSL Telecom con ip 10.1.1.1
> > 1 scheda per ADSL Eutelia con ip 10.2.2.1
> > 1 scheda per lan interna  con ip 192.168.0.254
> > 1 scheda per l'hotspot (che non ho idea di come funziona)
> > 1 scehda di riserva 
> > Ora, dubito che riesca a mettere 6 schede su una macchina, altrimenti potrei :
> 
> l'hotspot non lo uso...
> comunque molto meglio prender un dispositivo esterno, non fosse altro 
> che al momento ancora zeroshell non ha interfaccia grafica per la 
> gestione dei dispositivi wifi. si può sempre fare da riga di comando, ma 
> allora molto meglio usare un access point esterno.
> se l'access point sta sulla rete interna devi solo configurare il 
> captive portal.... a meno che tu non voglia sicurezza estrema e allora 
> potresti configurarlo come ip virtuale su una scheda già esistente e 
> configurare una dmz.
> quindi 1 scheda in meno.
> non so che scheda madre tu voglia comprare ma ormai quasi tutte le 
> schede hanno una ethernet integrata e quindi 1 scheda in meno.
> se sacrifichi la scheda di riserva sei a tre schede da installare, cosa 
> solitamente fattibile con una normale scheda atx. comunque, se vuoi 
> procedere con lo schema seguente:
> 
> > 1 scheda per lan interna  con ip 192.168.0.254
> > 1 scheda per l'hotspot (che non ho idea di come funziona)
> > 1 scheda per TUTTI i router Telecom/eutelia con ip 10.0.0.1 
> > 1 scehda di riserva 
> > i router avrenno ip della stessa famiglia della scheda 10.0.0.1 tutti messi in un hub : 10.0.0.2 - 10.0.0.3 - 10.0.0.4
> > Per un totale di 4 schede.
> > Funziona ? come faccio poi a stabilire da quale adsl mi viene il traffico visto che mi arriva sempre dalla stessa scheda di rete ?
> > Come funziona per le regole di fw ? e come funziona x bilanciare il carico ?
> 
> basta configurare il net balancer.
> e ovviamente il firewall.
> 
> è una cosa abbastanza intuitiva e semplice, sopratutto per il net 
> balancer, per il firewall può diventare complesso, ma se ti limiti solo 
> ad usare l'adsl per il traffico in uscita e per l'accesso a dei server 
> in dmz o anche sulla lan che forniscono servizi 'classici' tipo pop/imap 
> smtp o web, basta configurare il port forwarding in :
> 
> "router-->virtual server"
> 
> il bilanciamento del carico viene fatto in base al peso ('weight') che 
> assegni alle varie interfacce
> 
> ricorda che se usi servizi esterni crittografati come https ssh ecc. 
> ecc. il net balancer può creare problemi e quindi occorre definire delle 
> regole nella sezione apposita, per indirizzare tali tipi di traffico su 
> di una sola interfaccia.
> avevo anche letto sul forum di zeroshell una specie di workaround per 
> allungare i tempi assegnati ad una interfaccia, ma non ricordo bene come 
> funzionasse.. fai semmai una ricerca sul forum di zs.
> 
> ti rimando alla documentazione di zeroshell, che essendo creata da un 
> italiano è scritta in italiano, oltretutto semplice e comprensibile :)
> 
> ciao
> 
> max
> _______________________________________________
> FLUG - Discussioni tecniche - tech@firenze.linux.it
> URL: https://lists.firenze.linux.it/mailman/listinfo/tech
> Archivio: http://lists.firenze.linux.it/pipermail/tech
> Ricerca nell'archivio: http://www.firenze.linux.it/search
>

Maggiori informazioni sulla lista flug-tech