Dubbio su VLAN e Linux...

Discussione:

(troppo vecchio per rispondere)

ge43thndfv

2010-05-04 09:39:22 UTC

Ciao,

vorrei che mi chiariste un questione
riguardante una configurazione ipotetica
di due lan che condividono uno stesso
gateway.

In pratica, vorrei sapere se è possibile
usare pc con un so Linux dotato di tre interfacce
di rete ethernet: la prima interfaccia sarebbe
collegata ad una rete lan, la seconda ad un altra
e la terza ad un gateway ADSL Fastweb.

Gateway Fastweb
|
|
|
|
PC con Linux
| |
| |
| |
switch switch
rete A rete B

Il problema è questo: vorrei creare due vlan
una per ogni scheda di rete interessata sul
pc Linux. Ciò dovrebbe garantirmi la separazione
tra le due reti locali, in modo che se un
operatore installa uno sniffer sulla rete A
non possa vedere i pacchetti che transitano sulla
rete B.
Inoltre, il pc con Linux dovrebbe ridirezionare
il traffico proveniente dalle due vlan verso il gateway
Fastweb, il quale non sono sicuro che supporti
il protocollo 802.1q (vlan).

Quindi, il mio problema è separare le due reti con 2 vlan,
ma consentire ad entrambe di accedere ad Internet tramite
lo stesso gateway Fastweb.

Secondo voi è possibile farlo con un pc configurato che
fa da tramite come detto sopra?

THe_ZiPMaN

2010-05-04 10:04:38 UTC

Permalink

Post by ge43thndfv
In pratica, vorrei sapere se è possibile
usare pc con un so Linux dotato di tre interfacce
di rete ethernet: la prima interfaccia sarebbe
collegata ad una rete lan, la seconda ad un altra
e la terza ad un gateway ADSL Fastweb.

Un'interfaccia è superflua perché Linux supporta Vlan e tagging.

Post by ge43thndfv
Gateway Fastweb
|
|
|
|
PC con Linux
| |
| |
| |
switch switch
rete A rete B
Il problema è questo: vorrei creare due vlan
una per ogni scheda di rete interessata sul
pc Linux.

La VLAN è una segmentazione a livello 2, quindi immagino tu ti riferisca
allo switch che è unico, e non doppio come si intuirebbe dal disegno.

Post by ge43thndfv
Inoltre, il pc con Linux dovrebbe ridirezionare
il traffico proveniente dalle due vlan verso il gateway
Fastweb,

Dicesi ruotare, quindi a livello 3. Il concetto di Vlan si perde in favore
del concetto di rete IP.

Post by ge43thndfv
il quale non sono sicuro che supporti
il protocollo 802.1q (vlan).

Se in mezzo hai un router (PC con Linux) il router FW non ha alcuna
cognizione del livello 2 retrostante, quindi che ci siano 2 vlan o due reti
logiche su una stessa fisica o una MPLS geografica è indifferente.

Post by ge43thndfv
Quindi, il mio problema è separare le due reti con 2 vlan,
ma consentire ad entrambe di accedere ad Internet tramite
lo stesso gateway Fastweb.

Banalissimamente configuri il server Linux con 3 indirizzi IP, uno per
scheda, abiliti il routing e configuri iptables per fare NAT delle due reti
verso FW e bloccare il traffico tra le due reti. Con Shorewall sono 10 righe
in 5 file di testo (shorewall.conf, zones, interfaces, policy, masq).

Post by ge43thndfv
Secondo voi è possibile farlo con un pc configurato che
fa da tramite come detto sopra?

Ovviamente sì.

--
Flavio Visentin

Ubuntu in Zulu significa "Non so usare Debian". (cit. CtRiX)

ge43thndfv

2010-05-04 10:17:15 UTC

Permalink

Post by THe_ZiPMaN

Ok, ma vorrei capire bene una cosa.
Quello che dici sarebbe un filtro a livello 3 ISO/OSI,
in pratica il firewall impedisce di vedere la rete
B dalla rete A (che fa capo ad un altro switch),
ma sarebbe un filtro aggirabile installando
uno sniffer su uno dei pc della rete A.
Mi sbaglio?

In definitiva per me è fondamentale che le due
reti non siano visibili tra loro in alcun modo
a qualsiasi livello ISO/OSI.

THe_ZiPMaN

2010-05-04 12:35:09 UTC

Permalink

Post by ge43thndfv
Quello che dici sarebbe un filtro a livello 3 ISO/OSI,
in pratica il firewall impedisce di vedere la rete
B dalla rete A (che fa capo ad un altro switch),

Sì, impedisce di vedersi alle reti al livello 3.

Post by ge43thndfv
ma sarebbe un filtro aggirabile installando
uno sniffer su uno dei pc della rete A.
Mi sbaglio?

Sì, sbagli. Hai anche isolamento al livello 2 dato dalle due schede diverse
della macchina Linux (o dal tagging).

Post by ge43thndfv
In definitiva per me è fondamentale che le due
reti non siano visibili tra loro in alcun modo
a qualsiasi livello ISO/OSI.

Quindi devi separare a tutti i livelli. Se separi a livello due ma poi il
routing è permesso sei punto e a capo.

--
Flavio Visentin

Ubuntu in Zulu significa "Non so usare Debian". (cit. CtRiX)

ge43thndfv

2010-05-04 13:07:27 UTC

Permalink

Post by THe_ZiPMaN

Post by ge43thndfv
Quello che dici sarebbe un filtro a livello 3 ISO/OSI,
in pratica il firewall impedisce di vedere la rete
B dalla rete A (che fa capo ad un altro switch),

Sì, impedisce di vedersi alle reti al livello 3.

Post by ge43thndfv
ma sarebbe un filtro aggirabile installando
uno sniffer su uno dei pc della rete A.
Mi sbaglio?

Sì, sbagli. Hai anche isolamento al livello 2 dato dalle due schede diverse
della macchina Linux (o dal tagging).

Post by ge43thndfv
In definitiva per me è fondamentale che le due
reti non siano visibili tra loro in alcun modo
a qualsiasi livello ISO/OSI.

Quindi devi separare a tutti i livelli. Se separi a livello due ma poi il
routing è permesso sei punto e a capo.

Mi serve solo che le due reti possano accedere ad Internet tramite il
gateway Fastweb, non mi serve il routing tra le due LAN.
In tal modo avrei la separazione tra le due reti?

roberto

2010-05-04 10:01:55 UTC

Permalink

Post by ge43thndfv
Ciao,
vorrei che mi chiariste un questione
riguardante una configurazione ipotetica
di due lan che condividono uno stesso
gateway.
In pratica, vorrei sapere se è possibile
usare pc con un so Linux dotato di tre interfacce
di rete ethernet: la prima interfaccia sarebbe
collegata ad una rete lan, la seconda ad un altra
e la terza ad un gateway ADSL Fastweb.
Gateway Fastweb
|
|
|
|
PC con Linux
| |
| |
| |
switch switch
rete A rete B

Ma le due reti sono fisicamente separate?
Se sì, non c'è da fare nulla a livello vlan, basta una
configurazione classica "tipo firewall con DMZ" che fa
già quello che chiedi, da adattare, eventualmente alle
tue esigenze: rete A non vede rete B, rete B può agire
su rete A, oppure rete A e rete B sono impermeabili.

--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net

ge43thndfv

2010-05-04 10:21:17 UTC

Permalink

Post by roberto

Ma le due reti sono fisicamente separate?

Sì, ognuna ha il proprio switch (senza supporto
per le vlan).

Post by roberto
Se sì, non c'è da fare nulla a livello vlan, basta una
configurazione classica "tipo firewall con DMZ" che fa
già quello che chiedi, da adattare, eventualmente alle
tue esigenze: rete A non vede rete B, rete B può agire
su rete A, oppure rete A e rete B sono impermeabili.

Ma, come nell'altro post, il livello di sicurezza
sarebbe garantito a qualsiasi livello ISO/OSI?

Cioè, se su un pc della rete A attivo uno sniffer
come Wireshark, quindi che agisce a livello
2 ISO/OSI, avrò comunque la possibilità di
sniffare il traffico della rete B?

Se la risposta è no, concettualmente come
dovrei configurare il router/firewall Linux?

roberto

2010-05-04 11:24:00 UTC

Permalink

Post by ge43thndfv

Post by roberto
Ma le due reti sono fisicamente separate?

Sì, ognuna ha il proprio switch (senza supporto
per le vlan).

-cut-

Post by ge43thndfv
Ma, come nell'altro post, il livello di sicurezza
sarebbe garantito a qualsiasi livello ISO/OSI?

Sono separate, sì, se non fai pasticci sul pc "firewall" a tre
schede.

Post by ge43thndfv
Cioè, se su un pc della rete A attivo uno sniffer
come Wireshark, quindi che agisce a livello
2 ISO/OSI, avrò comunque la possibilità di
sniffare il traffico della rete B?

E chi manda allo switch A il traffico dello switch B?
Lo può fare solo il pc "firewall", e solo se lo istruisci
al riguardo.

Insisto, è una configurazione piuttosto classica.

--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net

ge43thndfv

2010-05-04 12:26:35 UTC

Permalink

Post by roberto

Post by ge43thndfv

Post by roberto
Ma le due reti sono fisicamente separate?

Sì, ognuna ha il proprio switch (senza supporto
per le vlan).

-cut-

Post by ge43thndfv
Ma, come nell'altro post, il livello di sicurezza
sarebbe garantito a qualsiasi livello ISO/OSI?

Sono separate, sì, se non fai pasticci sul pc "firewall" a tre
schede.

Post by ge43thndfv
Cioè, se su un pc della rete A attivo uno sniffer
come Wireshark, quindi che agisce a livello
2 ISO/OSI, avrò comunque la possibilità di
sniffare il traffico della rete B?

E chi manda allo switch A il traffico dello switch B?
Lo può fare solo il pc "firewall", e solo se lo istruisci
al riguardo.
Insisto, è una configurazione piuttosto classica.

Conosci un sito web che descriva una configurazione
simile a quella che voglio fare?

Così, evito di perdere troppo tempo nel documentarmi.

THe_ZiPMaN

2010-05-04 12:43:55 UTC

Permalink

Post by ge43thndfv

Post by roberto
Ma le due reti sono fisicamente separate?

Sì, ognuna ha il proprio switch (senza supporto
per le vlan).

Ma allora perché cavolo hai tirato in ballo le vlan????
Le Vlan servono se hai UNO switch e più reti fisiche isolate.

Post by ge43thndfv
Ma, come nell'altro post, il livello di sicurezza
sarebbe garantito a qualsiasi livello ISO/OSI?

Ovviamente sì.

Post by ge43thndfv
Cioè, se su un pc della rete A attivo uno sniffer
come Wireshark, quindi che agisce a livello
2 ISO/OSI, avrò comunque la possibilità di
sniffare il traffico della rete B?

Se sono reti fisicamente separate al livello 2 coem potrebbe fare?

Post by ge43thndfv
Se la risposta è no, concettualmente come
dovrei configurare il router/firewall Linux?

Come un router con 3 schede di rete e bloccando con il firewall le
comunicazioni che non servono.

--
Flavio Visentin

Ubuntu in Zulu significa "Non so usare Debian". (cit. CtRiX)

ge43thndfv

2010-05-04 13:09:08 UTC

Permalink

Post by THe_ZiPMaN

Post by ge43thndfv

Post by roberto
Ma le due reti sono fisicamente separate?

Sì, ognuna ha il proprio switch (senza supporto
per le vlan).

Ma allora perché cavolo hai tirato in ballo le vlan????
Le Vlan servono se hai UNO switch e più reti fisiche isolate.

Post by ge43thndfv
Ma, come nell'altro post, il livello di sicurezza
sarebbe garantito a qualsiasi livello ISO/OSI?

Ovviamente sì.

Post by ge43thndfv
Cioè, se su un pc della rete A attivo uno sniffer
come Wireshark, quindi che agisce a livello
2 ISO/OSI, avrò comunque la possibilità di
sniffare il traffico della rete B?

Se sono reti fisicamente separate al livello 2 coem potrebbe fare?

Post by ge43thndfv
Se la risposta è no, concettualmente come
dovrei configurare il router/firewall Linux?

Come un router con 3 schede di rete e bloccando con il firewall le
comunicazioni che non servono.

OK. Ora mi serve solo una configurazione di esempio
per iniziare a fare delle prove.
Ne conosci qualcuna che fa a caso mio?

THe_ZiPMaN

2010-05-04 13:22:25 UTC

Permalink

Post by ge43thndfv
OK. Ora mi serve solo una configurazione di esempio
per iniziare a fare delle prove.
Ne conosci qualcuna che fa a caso mio?

Come detto http://www.shorewall.net/

Configuri la eth0 verso Fastweb, la eth1 sulla rete A e la eth2 sulla B con
i rispettivi indirizzi IP e come default gateway metti l'IP del router fastweb.

In /etc/shorewall/shorewall.conf cambi:
IP_FORWARDING=Yes

In /etc/shorewall/zonez metti:
fw firewall
A ipv4
B ipv4
inet ipv4

In /etc/shorewall/interfaces metti:
inet eth0 -
A eth1 - routeback,dhcp
B eth2 - routeback,dhcp

In /etc/shorewall/policy metti:
fw all ACCEPT
A inet ACCEPT info
B inet ACCEPT info
all all DROP notice

In /etc/shorewall/masq metti:
eth0 eth1
eth0 eth2

Sono + o meno 15 minuti di configurazione.

--
Flavio Visentin

Ubuntu in Zulu significa "Non so usare Debian". (cit. CtRiX)