sto cercando di capire "in teoria" come funziona una rete, e quella del lab in particolare..
tipo
router1 -> firewall -> server1 router2 -> -> switch1 -> lan1 -> lan2
tipo?
cioe' i pacchetti entrano dal router (in questo caso adsl ngi, e mi pare anche telecom .. no?) e vanno al fw che ha una policy di trattamento dei pacchetti doppia nat con prerouting postrouting per cui li gira e basta iptables se prende in considerazione per se i pacchetti e decide poi cosa farne (ecco qui se mi spiegate meglio il percorso del pacchetto tra le interfacce fisiche, quindi schede di rete con ip, e livello piu'basso MAC.)
quindi droppo tutto ma accetto qualcosa quel qualcosa lo smisto
a seconda di certi "tratti" di quel pacchetto: da dove arriva, tipo; la porta; il protocollo. tipo dove chiede di andare
(se e' implementata la stateful inspection esamino anche la flag con lo stato del pacchetto
anche qui ne so poco poco di flag tipo SYN ACK et cetera per il tcp tipo insomma leggo adesso di hping, e di ping anche ;)) su h&c ... cioe' diciamo che questa e' una verifica piu' accurata sui pacchetti
nel senso se io sul mio fw imposto una regola: accetta tutto quello che arriva da un certo ip per aggirarla basta forgiare quel dato ip - in mancanza di altri controlli va be'
cmnq sul fw non girano servizi (solo ssh per admin da remoto) i servizi girano sul server il fw deve girare a laundry le richieste di un certo tipo: ovvero quelle appropriate rispetto ai servizi che laundry offre quindi direi tipo richieste http e https richieste pop e imap richieste irc (ma irc non e' un protocollo, o?) richieste ssh forse richieste ftp
da ovunque arrivino tanto il pc krix della lan1 quanto anyhost.bancodobrasil.br lui riconosce la richiesta (il pacchetto in entrata sulla sua interfaccia) come di un certo tipo e applica la regola corrispondente
poi agli ip interni offre altri servizi tipo il masquerading: tutte le richieste che passano escono come se fossero partite dal fw: last login may,13 from torretta.circolab.net
ma il punto su cui mi ero incartato era un altro, da cui lo schemino quante schede di rete mi servono? il fw sicuro deve essere in rete con il router e con il server e con lo switch della lan ... beh forse il server puo' passare anche lui dallo switch ;)) cosi' lo switch di lan1 diventa
fw < - > switch1 < - > pc1 lan1 server1 < - > < - > pc2 lan1 < - > pc3 lan1
e volendo anche < - > switch2 < - > pc1 lan2
mi manca una interfaccia di rete per il router2 so che su torretta c'e' tipo una delle due schede con un alias, quindi emula la terza. che gli serve per il router telecom, sicuro.. (NO?) ma da dove passa lui profe non dirmi dallo switch ;))
ciao grazie per la pazienza ;))