Zeroshell - Net Balancing - Multi WAN Ip

Zeroshell - Net Balancing - Multi WAN Ip - Virtual Server

Written by Luca Guerrieri

Monday, 04 January 2010 22:45

Cari miei visitatori, oggi vi voglio mostrare come si può perdere la testa per una settimana per poi vantarsene

Premessa

Per realizzare quanto vi mostrerò ho utilizzato una distribuzione Linux denominata ZeroShell che più che una distribuzione è autentica "manna" caduta dalle mani di Fulvio Ricciardi.

La distribuzione, senza scendere nei particolari, permette di avere subito attivo un firewall completo di molte altre funzionalità. Inoltre la sua configurazione è realizzabile con pochi click del mouse seguendo semplici percorsi guidati. Scaricate e provate subito questa distribuzione che vi permetterà di prendervi delle belle soddisfazioni. Link alla pagina del download

Tornando a noi, il quesito da risolvere era :

Problema

Avendo a disposizione : due connessioni Internet (di due ISP diversi) di cui una con i tipici 8 IP statici; tre server interni rispettivamente web, ftp e mail; una lan interna da collegare; come posso unire tutto questo in modo da avere : la lan protetta dal firewall; il net balancing con le due connessioni; i server raggiungibili dall'esterno e protetti (quindi non dmz pura bensì virtualserver con firewall) ?

Diamo per assunto i seguenti valori :

Parametri di esempio (cidr e netmask)
IP Provider 1 (ipotizziamo pubblici)	10.10.10.1/29 255.255.255.248 quindi da 10.10.10.1 a 10.10.10.8 ma possiamo usare da 10.10.10.2 a 10.10.10.7
IP Provider 2 (ipotizziamo pubblico)	172.16.1.1 255.255.255.254
Classe LAN	192.168.0.1/24 255.255.255.0
Classe DMZ	192.168.1.1/29 255.255.255.248
IP Server MAIL	192.168.1.2
IP Server WWW	192.168.1.3
IP Server FTP	192.168.1.4
IP ZeroShell	192.168.1.1 192.168.0.1

Soluzione (forse)

Innanzitutto ci server una macchina mooolto potente

, andrà bene un ... : CPU 2GHz, 512 MB di Ram, 40 GB di hard disk, 4 schede di rete, lettore CD-Rom e monitor/mouse/tastiera.

Dopo l'installazione, che non spiego anche perchè veramente tanto semplice e ad ogni modo fate riferimento ad una delle tante guide reperibili presso il sito della distribuzione, ci ritroviamo con la nostra bella paginetta di amministrazione.

A questo punto dobbiamo realizzare la seguente impostazione dal menù SYTEM -> SETUP ->NETWORK

Interfaccia	Indirizzo IP	Note
ETH00	192.168.0.1 - 255.255.255.0	IP interfaccia LAN
ETH01	10.10.10.2 - 255.255.255.248 10.10.10.3 - 255.255.255.248 10.10.10.4 - 255.255.255.248 10.10.10.5 - 255.255.255.248 10.10.10.6 - 255.255.255.248	IP Interfaccia router provider 1
ETH02	172.168.1.1 - 255.255.255.254	IP Interfaccia router provider 2
ETH03	192.168.1.1 - 255.255.255.248	IP Interfaccia DMZ

Ora non ci resta che aggiungere all'interno della finestra SYSTEM -> SETUP -> STARTUP/CRON le seguenti regole di iptables

#Permettiamo di avere le connessioni in incoming direttamente verso i rispettivi server www/ftp/mail

iptables -t nat -I PREROUTING 1 -d 10.10.10.2 -i ETH01 -j DNAT --to-destination 192.168.1.2

iptables -t nat -I PREROUTING 1 -d 10.10.10.3 -i ETH01 -j DNAT --to-destination 192.168.1.3

iptables -t nat -I PREROUTING 1 -d 10.10.10.4 -i ETH01 -j DNAT --to-destination 192.168.1.4

#Permettiamo di avere le connessioni in outgoing dai rispettivi server www/ftp/mail

iptables -t nat -I POSTROUTING 1 -s 192.168.1.2 -o ETH01 -j SNAT --to-source 10.10.10.2

iptables -t nat -I POSTROUTING 1 -s 192.168.1.3 -o ETH01 -j SNAT --to-source 10.10.10.3

iptables -t nat -I POSTROUTING 1 -s 192.168.1.4 -o ETH01 -j SNAT --to-source 10.10.10.4

Dopo aver definito queste regole che permettono ad un server sulla DMZ nella classe 192.168.1.X di essere raggiunto ma anche di rispondere, stiamo quindi parlando di NAT 1:1, passiamo alla configurazione del firewall. Aggiungiamo le seguenti regole per ogni chain

CHAIN : FORWARD / POLICY : DROP

Seq  Input    Output   Description

1    ETH00    *        ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0    no

2    ETH03    *        ACCEPT all opt -- in ETH03 out * 0.0.0.0/0 -> 0.0.0.0/0    no

3    *        *        ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED    no

4    ETH03    ETH01    ACCEPT all opt -- in ETH03 out ETH01 192.168.1.0/29 -> 0.0.0.0/0    no

5    ETH01    ETH03    ACCEPT tcp opt -- in ETH01 out ETH03 10.10.10.2 -> 192.168.1.2    no

6    ETH01    ETH03    ACCEPT icmp opt -- in ETH01 out ETH03 0.0.0.0/0 -> 0.0.0.0/0 icmp type 8    no  
7    ETH01    ETH03    ACCEPT tcp opt -- in ETH01 out ETH03 10.10.10.3 -> 192.168.1.3    no 
8    ETH01    ETH03    ACCEPT tcp opt -- in ETH01 out ETH03 10.10.10.4 -> 192.168.1.4    no 

CHAIN : INPUT / POLICY : DROP

Seq  Input    Output     Description

1    ETH00    *          ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0    no

2    ETH03    *          ACCEPT all opt -- in ETH03 out * 0.0.0.0/0 -> 0.0.0.0/0    no

3    *        *          ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED    no

CHAIN : OUTPUT / POLICY : ACCEPT

Nessuna regola

Ora passiamo al NetBalancing

Nella finestra NETWORK -> NET BALANCER configureremo i 2 gateway utilizzando il pulsante "add" relativo alla Gateway List. In questo modo avremo i due

Gateway Description    IP Address    Interface    Weight    Status    Faults   
provider1              10.10.10.1                 2         Active    0    
provider2              172.16.1.2                 1         Active    0

Nella relativa schermata del NAT aggiungete le interfacce che volete nattare, quindi ETH01 ed ETH02.

Nel caso abbiate il server smtp solo con uno dei due provider potrete aggiungere una regola al net balancing attraverso la finestra : NETWORK -> NET BALANCER -> BALANCING RULES dove diremo :

1    *    *    MARK tcp opt -- in * out * 192.168.0.1/24 -> 0.0.0.0/0 tcp dpt:25 MARK set 0x65    provider1 (10.10.10.1)

Fatto! Ecco che ora avrete la vostra rete protetta da un fantastico firewall.

Buona navigazione.

Next >

Last Updated on Friday, 08 January 2010 15:58

Menu Principale