On Sat, Dec 13, 2003 at 12:40:02PM +0100, carloz@paranoici.org wrote:
innanzitutto: ti prego manda a capo in automatico al 75 carattere altrimenti diventa un casino leggere le tue mail! :))
(con vi fai ESC:set wraplen=75 )
sto cercando di capire "in teoria" come funziona una rete, e quella del lab in particolare..
tipo
router1 -> firewall -> server1 router2 -> -> switch1 -> lan1 -> lan2
no, non ho capito il disegno... :(
tipo?
cioe' i pacchetti entrano dal router (in questo caso adsl ngi, e mi pare anche telecom .. no?) e vanno al fw che ha una policy di trattamento dei pacchetti doppia nat con prerouting postrouting per cui li gira e basta iptables se prende in considerazione per se i pacchetti e decide poi cosa farne (ecco qui se mi spiegate meglio il percorso del pacchetto tra le interfacce fisiche, quindi schede di rete con ip, e livello piu'basso MAC.)
no. cioe', ni. quello che dici sarebbe la situazione ideale ma sorgono un paio di problemi che non sono ancora stati risolti al circolab:
1) avere 2 routing sembra una cosa facile da gestire ma non lo e'. questo implica utilizzare i comandi di iproute per rimandare i pacchetti che arrivano da una rete verso la rete stessa.
2) la soluzione logica e' quindi usare tali comandi iproute, ma questi comandi devono associare i percorsi a schede di rete fisiche sulla macchina che fa da router (nel nostro caso torretta) ma non e' cosi'. quindi si dovrebbe mettere un'altra scheda di rete a torretta.
3) a questo punto arriva la cialtronata: dato che senza iproute (penso) non c'e' verso di instradare i pacchetti verso la rete giusta, si e' lasciato laundry su entrambe le reti 80.16.188.xx e 10.0.0.xx, e su torretta (da cui passano le connessioni che arrivano da ngi) si taroccano gli header dei pacchetti tcpip in modo che appaiano come mandati da torretta, e non come in realta' sono (cioe' provenienti da indirizzi internet).
in definitiva la rete al lab e' un casino, e ci dovremmo sbattere un po' per sistemare tutto.
quindi droppo tutto ma accetto qualcosa quel qualcosa lo smisto
quello e' quello che fa torretta in configurazione attuale, ma solo per le richieste che arrivano da ngi. quelle telecozz arrivano direttamente a laundry, che se le gestisce. (infatti laundry ha come indirizzi ip 80.16.188.66 e 10.0.0.253)
a seconda di certi "tratti" di quel pacchetto: da dove arriva, tipo; la porta; il protocollo. tipo dove chiede di andare
si, sempre pero' x ngi (queste cose sono abbastanza chiare su torretta nella parte finale del file /etc/init.d/secircolab (scritto alla hacker come piace a profe ma che a me fa solo girare i coglioni).
:))))
(se e' implementata la stateful inspection esamino anche la flag con lo stato del pacchetto
anche qui ne so poco poco di flag tipo SYN ACK et cetera per il tcp tipo insomma leggo adesso di hping, e di ping anche ;)) su h&c ... cioe' diciamo che questa e' una verifica piu' accurata sui pacchetti
mi sono perso... le regole di firewall che conosco sono solo quelle relative ai prerouting postrouting, le altre le ha messe tutte profe (chiedi a lui)
nel senso se io sul mio fw imposto una regola: accetta tutto quello che arriva da un certo ip per aggirarla basta forgiare quel dato ip - in mancanza di altri controlli va be'
si, ma a quel punto non gli tornano indietro, penso...
cmnq sul fw non girano servizi (solo ssh per admin da remoto) i servizi girano sul server il fw deve girare a laundry le richieste di un certo tipo: ovvero quelle appropriate rispetto ai servizi che laundry offre quindi direi tipo richieste http e https richieste pop e imap richieste irc (ma irc non e' un protocollo, o?) richieste ssh forse richieste ftp
esatto (guarda il file secircolab - parte finale)
da ovunque arrivino tanto il pc krix della lan1 quanto anyhost.bancodobrasil.br lui riconosce la richiesta (il pacchetto in entrata sulla sua interfaccia) come di un certo tipo e applica la regola corrispondente
no, se ti connetti a laundry da un computer interno non passi attraverso torretta...
poi agli ip interni offre altri servizi tipo il masquerading: tutte le richieste che passano escono come se fossero partite dal fw: last login may,13 from torretta.circolab.net
no.. quelle sono quelle dall'esterno che arrivano su laundry attraverso ngi... e' la famosa cialtronata che citavo al punto 3 della mail.
ma il punto su cui mi ero incartato era un altro, da cui lo schemino quante schede di rete mi servono?
non ho capito: vuoi reimplementare torretta? il firewall giusto x il lab dovrebbe avere tre schede di rete: una x la rete 80.16.188.xx, una per la rete 192.168.??.xx (che e' quella mascherata in cui arrivano i pacchetti mascherati dal router cisco della telecom attaccato a ngi, una x la rete interna.
il fw sicuro deve essere in rete con il router e con il server e con lo switch della lan ... beh forse il server puo' passare anche lui dallo switch ;)) cosi' lo switch di lan1 diventa
fw < - > switch1 < - > pc1 lan1 server1 < - > < - > pc2 lan1 < - > pc3 lan1
non riesco a capire il disegno..
e volendo anche < - > switch2 < - > pc1 lan2
mi manca una interfaccia di rete per il router2 so che su torretta c'e' tipo una delle due schede con un alias, quindi emula la terza. che gli serve per il router telecom, sicuro.. (NO?)
si, ma questo cozza con la implementazione di routing che sarebbe corretta...
ma da dove passa lui profe non dirmi dallo switch ;))
lui chi?
ciao grazie per la pazienza ;))
comunque parlare del routing del circolab via mail e' praticamente inutile: ci vuole una buona mezzora a parole, penso.. dio sa quanto via mail.
io direi che ci potrebbe trovare una sera e vedere di decidere una configurazione e finire 'sta cazzo di rete birouting del circolab (era aprile se non sbaglio che ci arrivava la seconda adsl).
ciao!