Per realizzare quanto vi mostrer\u00f2 ho utilizzato una distribuzione Linux denominata ZeroShell<\/a> che pi\u00f9 che una distribuzione \u00e8 autentica “manna” caduta dalle mani di Fulvio Ricciardi<\/a>.<\/p>\n\n\n\n La distribuzione, senza scendere nei particolari, permette di avere subito attivo un firewall completo di molte altre funzionalit\u00e0. Inoltre la sua configurazione \u00e8 realizzabile con pochi click del mouse seguendo semplici percorsi guidati. Scaricate e provate subito questa distribuzione che vi permetter\u00e0 di prendervi delle belle soddisfazioni. Link alla pagina del download<\/a><\/p>\n\n\n\n Tornando a noi, il quesito da risolvere era : Avendo a disposizione : due connessioni Internet (di due ISP diversi) di cui una con i tipici 8 IP statici; tre server interni rispettivamente web, ftp e mail; una lan interna da collegare; come posso unire tutto questo in modo da avere : la lan protetta dal firewall; il net balancing con le due connessioni; i server raggiungibili dall’esterno e protetti (quindi non dmz pura bens\u00ec virtualserver con firewall) ?<\/p>\n\n\n\n Diamo per assunto i seguenti valori :<\/p>\n\n\n\n Soluzione<\/strong> (forse)\nInnanzitutto ci server una macchina mooolto potente <\/p>\n\n\n\n , andr\u00e0 bene un … : CPU 2GHz, 512 MB di Ram, 40 GB di hard disk, 4 schede di rete, lettore CD-Rom e monitor\/mouse\/tastiera.<\/p>\n\n\n\n Dopo l’installazione, che non spiego anche perch\u00e8 veramente tanto semplice e ad ogni modo fate riferimento ad una delle tante guide reperibili presso il sito della distribuzione<\/a>, ci ritroviamo con la nostra bella paginetta di amministrazione.\n<\/p>\n\n\n\n A questo punto dobbiamo realizzare la seguente impostazione dal men\u00f9 SYTEM -> SETUP ->NETWORK<\/p>\n\n\n\n Ora non ci resta che aggiungere all’interno della finestra SYSTEM -> SETUP -> STARTUP\/CRON le seguenti regole di iptables #Permettiamo di avere le connessioni in outgoing<\/strong> dai rispettivi server www\/ftp\/mail<\/p>\n\n\n\n \n\nDopo aver definito queste regole che permettono ad un server sulla DMZ nella classe 192.168.1.X di essere raggiunto ma anche di rispondere, stiamo quindi parlando di NAT 1:1, passiamo alla configurazione del firewall. Aggiungiamo le seguenti regole per ogni chain\n<\/p>\n\n\n\n CHAIN : FORWARD \/ POLICY : DROP CHAIN : OUTPUT \/ POLICY : ACCEPT Ora passiamo al NetBalancing<\/strong><\/p>\n\n\n\n Nella finestra NETWORK -> NET BALANCER configureremo i 2 gateway utilizzando il pulsante “add” relativo alla Gateway List. In questo modo avremo i due<\/p>\n\n\n\n Nella relativa schermata del NAT aggiungete le interfacce che volete nattare, quindi ETH01 ed ETH02.<\/p>\n\n\n\n Nel caso abbiate il server smtp solo con uno dei due provider potrete aggiungere una regola al net balancing attraverso la finestra : NETWORK -> NET BALANCER -> BALANCING RULES dove diremo :<\/p>\n\n\n\n Fatto! Ecco che ora avrete la vostra rete protetta da un fantastico firewall.<\/p>\n\n\n\n Buona navigazione.<\/p>\n","protected":false},"excerpt":{"rendered":" Cari miei visitatori, oggi vi voglio mostrare come si pu\u00f2 perdere la testa per una settimana per poi vantarsene Premessa Per realizzare quanto vi mostrer\u00f2 ho utilizzato una distribuzione Linux denominata ZeroShell che pi\u00f9 che una distribuzione \u00e8 autentica “manna” …<\/p>\n
Problema<\/strong><\/p>\n\n\n\n![\"\"\/](\"images\/stories\/zeroshell\/forlex-dia.png\")
<\/figure>\n\n\n\n\nIP Provider 1\n(ipotizziamo pubblici)\n<\/td> \n10.10.10.1\/29 255.255.255.248\nquindi da 10.10.10.1 a 10.10.10.8 ma possiamo usare\nda 10.10.10.2 a 10.10.10.7\n<\/td><\/tr> \nIP Provider 2\n(ipotizziamo pubblico)\n<\/td> 172.16.1.1 255.255.255.254
<\/td><\/tr>Classe LAN<\/td> 192.168.0.1\/24 255.255.255.0
<\/td><\/tr>Classe DMZ<\/td> 192.168.1.1\/29 255.255.255.248
<\/td><\/tr>IP Server MAIL<\/td> 192.168.1.2<\/td><\/tr> IP Server WWW<\/td> 192.168.1.3<\/td><\/tr> IP Server FTP<\/td> 192.168.1.4<\/td><\/tr> IP ZeroShell<\/td> \n192.168.1.1\n192.168.0.1\n<\/td><\/tr><\/tbody><\/table>\n\n\n\n Interfaccia<\/td> Indirizzo IP<\/td> Note<\/td><\/tr> ETH00<\/td> 192.168.0.1 – 255.255.255.0<\/td> IP interfaccia LAN<\/td><\/tr> ETH01<\/td> \n10.10.10.2 – 255.255.255.248\n10.10.10.3 – 255.255.255.248\n10.10.10.4 – 255.255.255.248\n10.10.10.5 – 255.255.255.248\n10.10.10.6 – 255.255.255.248\n<\/td> IP Interfaccia router provider 1<\/td><\/tr> ETH02<\/td> 172.168.1.1 – 255.255.255.254<\/td> IP Interfaccia router provider 2<\/td><\/tr> ETH03<\/td> 192.168.1.1 – 255.255.255.248<\/td> IP Interfaccia DMZ<\/td><\/tr><\/tbody><\/table>\n\n\n\n
#Permettiamo di avere le connessioni in incoming<\/strong> direttamente verso i rispettivi server www\/ftp\/mail<\/p>\n\n\n\niptables -t nat -I PREROUTING 1 -d 10.10.10.2 -i ETH01 -j DNAT --to-destination 192.168.1.2<\/pre>\n\n\n\n
iptables -t nat -I PREROUTING 1 -d 10.10.10.3 -i ETH01 -j DNAT --to-destination 192.168.1.3<\/pre>\n\n\n\n
iptables -t nat -I PREROUTING 1 -d 10.10.10.4 -i ETH01 -j DNAT --to-destination 192.168.1.4<\/pre>\n\n\n\n
iptables -t nat -I POSTROUTING 1 -s 192.168.1.2 -o ETH01 -j SNAT --to-source 10.10.10.2<\/pre>\n\n\n\n
iptables -t nat -I POSTROUTING 1 -s 192.168.1.3 -o ETH01 -j SNAT --to-source 10.10.10.3<\/pre>\n\n\n\n
iptables -t nat -I POSTROUTING 1 -s 192.168.1.4 -o ETH01 -j SNAT --to-source 10.10.10.4<\/pre>\n\n\n\n
<\/p>\n\n\n\nSeq Input Output Description
<\/pre>\n\n\n\n1 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0\/0 -> 0.0.0.0\/0 no <\/pre>\n\n\n\n
2 ETH03 * ACCEPT all opt -- in ETH03 out * 0.0.0.0\/0 -> 0.0.0.0\/0 no <\/pre>\n\n\n\n
3 * * ACCEPT all opt -- in * out * 0.0.0.0\/0 -> 0.0.0.0\/0 state RELATED,ESTABLISHED no <\/pre>\n\n\n\n
4 ETH03 ETH01 ACCEPT all opt -- in ETH03 out ETH01 192.168.1.0\/29 -> 0.0.0.0\/0 no <\/pre>\n\n\n\n
5 ETH01 ETH03 ACCEPT tcp opt -- in ETH01 out ETH03 10.10.10.2 -> 192.168.1.2 no <\/pre>\n\n\n\n
6 ETH01 ETH03 ACCEPT icmp opt -- in ETH01 out ETH03 0.0.0.0\/0 -> 0.0.0.0\/0 icmp type 8 no
7 ETH01 ETH03 ACCEPT tcp opt -- in ETH01 out ETH03 10.10.10.3 -> 192.168.1.3 no
8 ETH01 ETH03 ACCEPT tcp opt -- in ETH01 out ETH03 10.10.10.4 -> 192.168.1.4 no
CHAIN : INPUT \/ POLICY : DROP\n
Seq Input Output Description\n
<\/pre>\n\n\n\n1 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0\/0 -> 0.0.0.0\/0 no <\/pre>\n\n\n\n
2 ETH03 * ACCEPT all opt -- in ETH03 out * 0.0.0.0\/0 -> 0.0.0.0\/0 no <\/pre>\n\n\n\n
3 * * ACCEPT all opt -- in * out * 0.0.0.0\/0 -> 0.0.0.0\/0 state RELATED,ESTABLISHED no <\/pre>\n\n\n\n
Nessuna regola<\/p>\n\n\n\nGateway Description IP Address Interface Weight Status Faults
provider1 10.10.10.1 2 Active 0
provider2 172.16.1.2 1 Active 0
<\/pre>\n\n\n\n1 * * MARK tcp opt -- in * out * 192.168.0.1\/24 -> 0.0.0.0\/0 tcp dpt:25 MARK set 0x65 provider1 (10.10.10.1)<\/pre>\n\n\n\n