linux user group brescia

> Luca Giuzzi wrote:
> > Il problema era effettivamente a livello di router che non sapeva cosa
> >  farsene dei pacchetti destinati alla rete interna... solo una cosa:
> >  sei SICURO di volere il masquerading in questo modo?
> Cioe' vuoi dire che i pacchetti uscivano e poi non potevano piu'
> rientrare?
> Io credevo che fosse il contrario, cioe' che il router scartasse i
> pacchetti della rete interna 192.168.0.x
>
E' possibile siano successe tutte e due le cose (in particolare se il
 router in oggetto e' "intelligente"), ma la cosa piu' probabile e' che
 non sapesse dove mandare i pacchetti per il 192.168.0
 
> > Personalmente io ti suggerirei una soluzione un poco piu' complessa ma
> >  forse piu' pratica sul lungo periodo che e' fare il NAT-ting della rete
> >  interna... da qualche parte c'e' un masquerading in atto, ma non sono
> >  sicuro che il farlo due volte sia proprio una buona idea.
> >  [nessun `problema garantito', intendiamoci e se le cose sono fatte a
> >   puntino gli utenti non si dovrebbero accorgere di nulla... il problema
> >   e' che talvolta le cose NON sono fatte a puntino (su macchine su cui
> >  non si ha nessun controllo) ed e' bene essere pronti anche per quello...
>
> Giuro che ho capito 1/4 di quello che mi hai scritto. 
> Confesso la mia ignoranza: non so cosa sia il NAT-ting. Mi informo. Per
> ora grazie della dritta.
>
NAT=Network Address Translation
Il masquerading e' un caso particolare:
 tu hai n indirizzi nella LAN (privati) e 1 indirizzo pubblico.
 Il masquerading riscrive i pacchetti provenienti dalla LAN in modo tale
 che appaiano provenienti dalla macchina con indirizzo pubblico e tiene
 traccia delle connessioni. Essenzialmente e' una mappatura n:1.

Il NAT, in generale, ti da' una mappatura n:m, potendo discriminare 
 pacchetto per pacchetto che cosa vuoi. [non con i kernels 2.2, ma il
 NAT del 2.3 teoricamente ti consente di farlo... modulo qualche patch]

Nel tuo caso l'idea sarebbe potuta essere di riscrivere gli indirizzi del
 tipo

192.168.0.x ---> 10.200.2.x 
[o qc del genere]

d'altro canto tutto dipende dal tipo di applicazioni che hai in funzione
e puo' darsi non ne valga la pena. [da qualche parte viene fatto un altro
 masquerading, per cui non so se il tutto convenga... il vantaggio e' che
 dal lato remoto e' possibile individuare facilmente i singoli hosts...]



> >  una nota: tu VUOI installare il modulo ip_masq_ftp sul firewall, vero? ]
> Io, prima di tutto, voglio capire per benino il firewalling. L'azienda
> mi ha chiesto di vedere cosa si puo' fare per controllare gli accessi
> interni ed esterni alla rete; per ora sta facendo un po' di prove.
> Mi son letto (di corsa) il Firewall-HOWTO ma e' chiaro che me lo devo
> riguardare con calma. Oltre a quello, puoi indicarmi altra
> documentazione in rete e/o stampata?
>

Innanzitutto: firewalling e NATting (o masquerading) sono due cose diverse
anche se a livello di tools (e di moduli a livello kernel) risultano 
collegati [in quanto comportano manipolazione e/o riscrittura dei pacchetti
 in arrivo].
Il problema con il modulo di cui dicevo sopra e' che il protocollo ftp 
 necessita per funzionare attraverso una macchina che maschera gli 
 indirizzi di un `modulo aggiuntivo'... stessa cosa per il DDC di irc,
 quake, realaudio, cuseeme, vdolive,etc. ...
 d'altro canto credo che questi ultimi siano di minore importanza per una
 rete aziendale [a parte quake, forse :) ]

Relativamente le istruzioni: la cosa migliore sono sicuramente le FAQ
 e la documentazione acclusa con i pacchetti. Tieni conto che i kernels
 2.0, 2.2 e 2.3 (sperimentale) hanno tutti sistemi diversi per controllare
 queste funzionalita' (nel 2.3 ci sono dei `moduli di compatibilita'' ma
 e' bene non usarli), per cui e' difficile che ci sia un libro aggiornato
 sul tutto. Riguardo il NAT, poi, l'unica documentazione che ho visto in
 giro e' quella per i tools (stile BSD) di iproute2 [standard sotto RH6.2...
 quasi introvabile prima e in altre distribuzioni...  non ho sottomano
 debian al momento] e quella (ancora incompleta) di iptables (per il 2.3).

Ciao,
 lg