Repository 32bit  Forum
Repository 64bit  Wiki

Shorewall a tre interfacce

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Shorewall a tre interfacce

Messaggioda starniell » lun mag 21, 2007 17:07

Salve a tutti,

C'ho smanettato un po', ma poi ho detto: meglio chiedere aiuto... porei starci un'eternità, eppure devo fare una cosa semplice semplice.

Il mio Slackware 10.2 era gia configurato con 2 interfacce e shorewall si occupava di dirigere il traffico. In pratica con delle semplici regole DNAT reindirizzo i pacchetti dalla zona "net" alla zona "loc" in arrivo sulla porta 80 (http), vi posto il file /etc/shorewall/rules:

Codice: Seleziona tutto
#ACTION  SOURCE      DEST         PROTO   DEST    SOURCE      ORIGINAL
ACCEPT   net    fw   tcp   80,22,10000   -
ACCEPT   masq   fw   tcp   22,10000   -
ACCEPT   fw     masq tcp   80   -
DNAT     net    loc:192.168.1.2 tcp 80 -


A questo punto ho deciso di aggiungere una nuova scheda di rete per collegare un server web di un sistema di Telecamere che accetta connessioni sulla porta 91, posizionato su un'altra rete (192.168.3.255).

Quindi ho aggiunto una nuova zona che ho configurato in /etc/shorewall/zones:

Codice: Seleziona tutto
#ZONE   DISPLAY      COMMENTS
net   Net   Internet zone
masq  Masquerade   Masquerade Local
loc   Local   Local
cam   CAM   Server Camera



Successivamente ho aggiunto una nuova interfaccia (eth2) che ho configurato in /etc/shorewall/interfaces:

Codice: Seleziona tutto
#ZONE    INTERFACE   BROADCAST   OPTIONS
net   eth0   detect
masq  eth1   192.168.1.255
cam   eth2   192.168.3.255


Bene, mi sono detto, ora non devo fare altro che impostare le regole per consentire alla rete locale, ovvero a quelli della rete 192.168.1.255 di poter vedere il web server, con indirizzo 192.168.3.231, sulla porta 91, quindi ho aggiunto al file di prima /etc/shorewall/rules, le seguenti variazioni:

Codice: Seleziona tutto
#ACTION  SOURCE      DEST         PROTO   DEST    SOURCE      ORIGINAL
ACCEPT   net    fw   tcp   80,22,10000   -
ACCEPT   masq   fw   tcp   22,91,10000   -
ACCEPT   fw     masq tcp   80   -
DNAT     net    loc:192.168.1.2 tcp 80 -
DNAT     loc    cam:192.168.3.231 tcp 91 -


Il risultato è che dalla linux box riesco a vedere il web server:

http://192.168.3.231:91 (funziona)

se vado su un client della rete 192.168.1.255 e digito:

http://192.168.1.1:91 (non succede nulla: errore pagina web)

Ovviamente ho anche provato con http://192.168.3.231:91 (ma lo stesso non funziona)

Non sto ad elencare le altre prove che ho fatto, le quali non hanno dato esito positvo, vorrei capire se c'entra qualcosa il masquerading oppure no. E in ogno caso come faccio per rendere accessibile il web server 192.168.3.231 ai client nella rete 192.168.1.255?

Grazie per la risposta
Avatar utente
starniell
Linux 1.0
Linux 1.0
 
Messaggi: 10
Iscritto il: gio giu 15, 2006 12:01
Località: Villaricca (NA)

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 2 ospiti