[FoLUG] DMZ e web server

PalmaWay palmaway@gmx.it
Gio 12 Feb 2004 22:34:04 CET 

>Ho una questione che mi incuriosisce. La mia rete =E8 una DMZ con=
 il server 
>itx che gira ipcop.
>La zona Orange ha 1 solo pc (xp pro). Questo pc dovr=E0, con buone=
 
>probabilit=E0, essere accessibile dall'esterno per interrogazioni.=
 Difatti, 
>le zone Orange servono appunto per far girare web server=
 raggiungibili 
>dall'esterno (mentre le green sono accessibili solo attraverso=
 le orange e 
>i DMZ pinholes)
>Ora, la mia domanda =E8 questa: come fare ?
>Immagino di dover scrivere una regola di iptables nella catena=
 INPUT che 
>dica: se dal RED (eth2) arriva un pacchetto TCP per porta 80,=
 allora 
>forwarda il pacchetto su eth1 (orange) all'ip della macchina che=
 ha il web 
>server.
>Non vorrei per=F2, cosi' facendo, che venissero mal instradati=
 anche i 
>pacchetti TCP/80 in risposta alle richieste web delle macchine=
 della green 
>(anche se credo che le regole di NAT di default dovrebbero=
 impedire 
>l'inghippo).
>Volevo qualche rassicurazione/commento/sgridata da qualcuno di=
 voi su 
>quanto detto.

Ciao Cesare!

Non ho capito una cosa: la rete orange (il server web) =E8 su una=
 scheda di rete differente da quella green (la rete locale),=
 vero?
Se la risposta =E8 si, allora il problema non si dovrebbe porre.
Dovrebbe bastare inserire un port forwarding e attivare un=
 external service access sulla porta 80 (qualsiasi porta=
 mittente) verso l'indirizzo del web server, e inserire gli=
 stessi dati come DMZ pinholes, se vuoi poter accedere al server=
 direttamente dalla green. Ma sono tutte cose che puoi fare=
 dall'interfaccia di gestione via web di ipcop, senza dover=
 scrivere regole di iptables.
Proprio per il fatto che il TCP =E8 un protocollo con connessioni=
 (cio=E8 che non comunica tramite richieste separate, come invece=
 fa l'UDP, ma stabilisce una connessione fra sender e receiver),=
 ipcop sar=E0 in grado di stabilire chi ha originato la richiesta,=
 e quindi se proviene dalla rete red (client esterno per il=
 webserver) o green (client interno che vuole accedere ad un=
 sito).

Ciao
Paolo Palmieri

Maggiori informazioni sulla lista FoLUG