[FoLUG] DMZ e web server

Marco Tamburini marco.tamburini@studio.unibo.it
Ven 13 Feb 2004 10:34:33 CET 

Alle 14:29, giovedì 12 febbraio 2004, Cesare Zavalloni ha scritto:
> Ho una questione che mi incuriosisce. La mia rete è una DMZ con il
> server itx che gira ipcop.
> La zona Orange ha 1 solo pc (xp pro). Questo pc dovrà, con buone
> probabilità, essere accessibile dall'esterno per interrogazioni.
> Difatti, le zone Orange servono appunto per far girare web server
> raggiungibili dall'esterno (mentre le green sono accessibili solo
> attraverso le orange e i DMZ pinholes)

Guarda, con tutti sti colori mi gira la testa... da quello che ne so io 
si può fare una distinzione meno fine.. le DMZ sono reti contenenti 
macchine serventi per l'esterno (e ovviamente anche per le LAN)...

> Ora, la mia domanda è questa: come fare ?
> Immagino di dover scrivere una regola di iptables nella catena INPUT
> che dica: se dal RED (eth2) arriva un pacchetto TCP per porta 80,
> allora forwarda il pacchetto su eth1 (orange) all'ip della macchina
> che ha il web server.

La RED cos'è??
Se ho capito devi hai un firewall interposto tra l'esterno (eth2) e una 
DMZ (su eth1) e una LAN (su che if??)...

Se così fosse per fare quello che ti serve ci sono due tecniche.. l'IP 
aliasing o il subnetting...  la prima tec. se le macchine DMZ hanno ip 
privati, la seconda se hai un pool di ip pubblici da assegnare... 
mettendo il caso della prima devi assegnare degli alias alla 
interfaccia esterna (quella da Internet nel tuo caso), e poi fai un bel 
DNAT da ogni indirizzo al corrispondente della macchina DMZ che 
fornisce quel servizio... supponendo che tu abbia un indirizzo pubblico 
1.2.3.4 e che la dmz sia la macchina 192.168.1.10 puoi fare una regola 
del tipo

	iptables -t nat -A PREROUTING -i eth2 -d 1.2.3.4 -p tcp --dport 80 \
	-m state --state NEW, ESTABLISHED,RELATED \
 	-j DNAT -to-destination 192.168.1.10

> Non vorrei però, cosi' facendo, che venissero mal instradati anche i
> pacchetti TCP/80 in risposta alle richieste web delle macchine della
> green (anche se credo che le regole di NAT di default dovrebbero
> impedire l'inghippo).

Facendo così agisci solo sulle macchine della rete DMZ, senza toccare le 
LAN... poi comunque il NAT gestisce il mapping degli indirizzi in modo 
abbastanza efficiente...

> Volevo qualche rassicurazione/commento/sgridata da qualcuno di voi su
> quanto detto.

Se ti interessa approfondire queste tematiche ti posso inviare il pdf 
della tesi di laurea che ho fatto sul firewalling in ambiente GNU/Linux 
su kernel 2.4 e 2.6 con iptables e ebtables...

A presto

Marco Tamburini
-- 

Powered By SuSE 9/Debian Sid
Linux Registered User #339080 at http://counter.li.org
ICQ #77385998

Maggiori informazioni sulla lista FoLUG