mi chiedevo ma una macchina cosí configurata, può inviare email?
Lo chiedo perchè mi piacerebbe che il firewall trasparente potesse
inviare al sysop messaggi di avviso via email.
... non ho ancora provato... devo ancora andare a comprare l'HW.
ciao
MaX
Fabio Bizzi wrote:
Alessio
ciao a tutti,
mi hanno chiesto di fare un firewall trasparente che faccia anche NAT,
ovvero che non richieda nessuna riconfigurazione nella LAN.
Per fare questo ho pensato di mettere su un firewall con 2 interfacce di
rete nello stesso rango di IP e collegarle tra il router adsl e la LAN
Router/Modemeth0Firewall(NAT/Transp Proxy)eth1LAN
cos'hai? un router o un modem ADSL?Il 07/11/05, max [EMAIL PROTECTED] ha scritto:
ciao a tutti,mi hanno chiesto di fare un firewall trasparente che faccia anche NAT,ovvero che non richieda nessuna riconfigurazione nella LAN.Per fare questo ho
jangar wrote:
Router/Modemeth0Firewall(NAT/Transp Proxy)eth1LAN
cos'hai? un router o un modem ADSL?
Router adsl ethernet
ciao
MaX
__
Renovamos el Correo Yahoo!
Nuevos servicios, más seguridad
http://correo.yahoo.es
--
allora, io ho fatto una cosa uguale alla tua e tutto funziona divinamente.
Ti spiego
Debian Linux Sarge con kernel 2.6 sul firewall
la eth0 collegata al router deve avere l'indirizzo IP statico pubblico
ifconfig eth0 ip_address netmask ip_netmask_adrress up
la seconda collegata allo switch
grazie per l'aiuto, ma probabilmente mi sono spiegato male (come al solito).
il fatto è che per funzionare le due interfacce del firewall debian
dovrebbero stare nello stesso rango di IP e questo non sembra funzionare
con il kernel di linux.
Pravo fare questo:
Attivo eth0 che è collegata al
non ho capito!
scusa, ma perchè devi settare le due interfacce sullo stesso range?
P.S.: Cmq anche con il bridge, se non sbaglio, i range devono essere diversi.Il 08/11/05, max [EMAIL PROTECTED]
ha scritto:grazie per l'aiuto, ma probabilmente mi sono spiegato male (come al solito).
il fatto è
max wrote:
grazie per l'aiuto, ma probabilmente mi sono spiegato male (come al
solito).
il fatto è che per funzionare le due interfacce del firewall debian
dovrebbero stare nello stesso rango di IP e questo non sembra
funzionare con il kernel di linux.
Pravo fare questo:
Attivo eth0 che
jangar wrote:
non ho capito!
scusa, ma perchè devi settare le due interfacce sullo stesso range?
altrimenti non sarebbe trasperente. quello che voglio ottenere è un
firewall che non abbia bisogno di fare alcuna modifica alla rete: il
router adsl non deve cambiare IP, e i computer dalla
pensavo e se si usassero delle interfacce virtuali tipo tun o tap
come fa MOL o VmWare?
del tipo:
Router(192.168.1.254)
^
|
v
eth0(192.168.1.1)
^
|
v
-Firewall con iptables
^
|
v
tap0 (192.168.2.1)
^
|
v
NAT con IPmasquarading
On Tue, 08 Nov 2005 15:56:42 +0100
max [EMAIL PROTECTED] wrote:
altrimenti non sarebbe trasperente. quello che voglio ottenere è
un firewall che non abbia bisogno di fare alcuna modifica alla rete:
il router adsl non deve cambiare IP, e i computer dalla LAN neppure.
Si e' gia' parlato molte
proxyarp! ecco la parolina magica da cercare. :-)
grazie,
MaX
straluna wrote:
Si e' gia' parlato molte volte di bridge [*] e proxyarp, due soluzioni
che fanno al caso tuo. Dai un'occhiata agli archivi della lista e a
google, troverai tutta la documentazione che vuoi.
max wrote:
mi hanno chiesto di fare un firewall trasparente che faccia anche NAT,
ovvero che non richieda nessuna riconfigurazione nella LAN.
Se fà NAT allora non è trasparente! :)
Il firewall trasparente ha le interfacce di rete senza IP address,
quindi non è lui che fà nat, al limite il NAT
Fabio Bizzi wrote:
Hai le idee un pò confuse, il transparent firewall si frappone
*FISICAMENTE* tra il tuo GW e la tua LAN in modo che possa filtrare in
maniera *trasparente* tutto il traffico, uno schema ipotetico potrebbe
essere questo:
192.168.1.x0.0.0.00.0.0.0
max wrote:
Fabio Bizzi wrote:
Hai le idee un pò confuse, il transparent firewall si frappone
*FISICAMENTE* tra il tuo GW e la tua LAN in modo che possa filtrare
in maniera *trasparente* tutto il traffico, uno schema ipotetico
potrebbe essere questo:
192.168.1.x0.0.0.0
Fabio Bizzi ha scritto:
Così dovrebbe poter funzionare, calcola che una cosa del genere l'ho
implementata un paio di anni fà e quindi se non sono stato preciso
perdonami, ma la memoria non è più quella di una volta :)
Ciao, avevo una curiosità, a parte il fatto di essere un bridge
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On Nov 8, 2005, at 5:54 PM, Fabio Bizzi wrote:
Da non dimenticare il forwarding dell'IP:
echo 0 /proc/sys/net/ipv4/ip_forward
in questo modo l'IP forwarding lo blocchi.
echo 1 /proc/sys/net/ipv4/ip_forward
Ric
- - Riccardo Tortorici -
Linux
-
In realtà per il firewall-bridge (aka firewall trasparente) l'ip_forward
non serve a 1.
Infatti non deve forwadare a livello ip, ma a livello 2.
Alessio
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On Nov 9, 2005, at 12:09 AM, Alessio Curri wrote:
In realtà per il firewall-bridge (aka firewall trasparente)
l'ip_forward non serve a 1.
Infatti non deve forwadare a livello ip, ma a livello 2.
Beh, per come è stata posta...
per forwardare
lo vedono (non avendo ip) ma c'è. Ma a parte questo?
Mah... dipende dal disegno di rete Un firewall trasparente come
tutte le cose ha vantaggi e svantaggi... :)
Vantaggi: Quelli che hai esposto tu più:
1) Puoi effettuare firewalling anche a livello 2 utilizzando le
eb-tables (quindi puoi
Alessio Curri wrote:
In realtà per il firewall-bridge (aka firewall trasparente) l'ip_forward
non serve a 1.
Infatti non deve forwadare a livello ip, ma a livello 2.
Però se usi la catena FORWARD delle iptables per filtrare il traffico
come da esempio (e questo lo fai a livello 3) devi
21 matches
Mail list logo
