[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [indice analitico] [volume] [parte]


Capitolo 373.   Progetto di una rete completa di servizi essenziali, di firewall e di posta elettronica

data
cognome e nome
classe e sezione
(corso)

Si dispone di un gruppo di indirizzi IPv4 accessibili da Internet, che si vogliono utilizzare per alcuni elaboratori, all'interno dei quali si vuole allestire qualche servizio da rendere accessibile al pubblico. Si parte dallo schema seguente:

schema di partenza della verifica

373.1   Calcolo degli indirizzi disponibili da usare nella rete intermedia

Degli indirizzi IPv4 validi per l'accesso da Internet si conosce solo la maschera di rete, 255.255.255.248, ovvero una maschera con i primi 29 bit a uno, inoltre si conosce un indirizzo del gruppo disponibile: 1.2.3.174. È necessario determinare prima gli indirizzi a disposizione, concentrando l'attenzione soltanto sull'ultimo ottetto dell'indirizzo conosciuto. Lo schema seguente dovrebbe aiutare a fare i calcoli necessari:

128 64 32 16 8 4 2 1
indirizzo, ultimo ottetto 17410
maschera, ultimo ottetto 24810
indirizzo di rete, ultimo ottetto
indirizzo broadcast

Di conseguenza, gli indirizzi che possono essere utilizzati effettivamente per gli elaboratori vanno da:

1.2.3.

 

 

a:

1.2.3.

 

 

373.2   Configurazione degli elaboratori della rete intermedia

Gli elaboratori con indirizzi accessibili dagli utenti di Internet sono collocati in una piccola rete locale, che qui viene chiamata «rete intermedia». Avendo determinato quali sono effettivamente gli indirizzi disponibili, questi possono essere attribuiti agli elaboratori:

nodo indirizzo
firewall 1.2.3.174
NAT  
 
 
nodo A  
 
 
nodo B  
 
 
nodo C  
 
 
nodo D  
 
 

Si scriva il comando da utilizzare per configurare l'interfaccia eth0 del nodo NAT:

[Invio]

 

 

Si presume che l'instradamento locale, riferito alla rete 1.2.3.168/255.255.255.248, sia definito in modo automatico, senza bisogno di dare un comando apposito. Si scriva invece il comando da utilizzare per indicare l'instradamento predefinito che consenta l'accesso a Internet, per uno qualunque dei nodi della rete intermedia:

[Invio]

 

 

Si scriva il comando da dare all'interno del nodo che funge da router-NAT per ottenere la trasformazione degli indirizzi per la rete privata:

[Invio]

 

 

Negli elaboratori della rete intermedia con indirizzi accessibili da Internet vengono collocati alcuni servizi; precisamente un servente HTTP, un servente SMTP e un servente DNS. I tre servizi di rete devono essere accessibili sia alla rete interna, sia alla rete esterna.

nodo servizio da inserire
NAT  
 
 
nodo A  
 
 
nodo B  
 
 
nodo C  
 
 
nodo D  
 
 

373.3   DNS

Si registra il nome di dominio di secondo livello primo.dg, con il quale si vuole attribuire dei nomi appropriati ai servizi di rete collocati nella rete intermedia.

Nell'elaboratore che offre il servizio DNS si usa precisamente l'applicativo Bind per questo scopo e il file /etc/bind/named.conf iniziale contiene quanto segue:

zone "." {
        type hint;
        file "/etc/bind/db.root";
};

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "localdomain" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

zone "primo.dg" {
        type master;
        file "/etc/bind/primo.dg";
};

Come si vede, il file /etc/bind/primo.dg serve per la risoluzione dei nomi della zona primo.dg. Si completi il contenuto di questo file in base alle scelte fatte in precedenza, tenendo conto che quando si scrivono messaggi con indirizzi di posta elettronica del tipo nome@primo.dg è necessario che questi raggiungano correttamente il servente SMTP:

@       IN            SOA     dns.primo.dg. root.dns.primo.dg.  (
                                2003032300 ; Serial
                                28800      ; Refresh
                                7200       ; Retry
                                604800     ; Expire
                                86400 )    ; Minimum


                        NS              dns.primo.dg.


                        MX      10      __________________________


dns.primo.dg.           A               __________________________


mail.primo.dg.          A               __________________________


www.primo.dg.           A               __________________________

La risoluzione inversa non viene presa in considerazione perché manca la gestione di un ottetto completo di indirizzi; pertanto è impossibile.

373.4   Rete locale con indirizzi privati

La rete locale viene gestita con indirizzi privati IPv4, scelti liberamente tra i gruppi esclusi dagli instradamenti di Internet:

Tabella 373.8. Indirizzi IPv4 riservati alle reti private.

Classe Indirizzi
A 10.0.0.0/8
B 172.16.0.0/12
C 192.168.0.0/16

Si ricorda la maschera di rete predefinita delle tre classi di indirizzi disponibili:

Tabella 373.9. Maschere di rete predefinite abbinate alle classi IPv4.

Classe Maschera di rete predefinita
A 255.0.0.0
B 255.255.0.0
C 255.255.255.0

Nell'ambito del sistema di indirizzamento scelto, si riserva una porzione di indirizzi per gli elaboratori presenti fisicamente, una porzione per elaboratori portatili (o mobili) che vengono configurati manualmente e una parte per la configurazione automatica tramite DHCP. Nella tabella seguente si indichino gli intervalli prescelti.

classe di indirizzi (A, B o C)  
 
 
indirizzo di rete  
 
 
maschera di rete  
 
 
indirizzi elaboratori installati stabilmente, da  
 
 
a  
 
 
indirizzi elaboratori mobili da configurare manualmente, da  
 
 
a  
 
 
indirizzi elaboratori mobili da configurare dinamicamente, da  
 
 
a  
 
 
indirizzo del router-NAT dal lato della rete privata  
 
 

Supponendo che gli elaboratori della rete locale privata siano stati configurati correttamente per quanto riguarda l'indirizzo IPv4 e l'instradamento locale (nella rete locale privata), si scriva il comando che indica l'instradamento predefinito che consente a questi elaboratori di raggiungere sia la rete locale intermedia, sia il resto della rete globale:

[Invio]

 

 

Essendo noto l'indirizzo di rete della rete locale privata, si scriva il comando da impartire agli elaboratori della rete intermedia che indica l'instradamento verso la rete locale privata:

[Invio]

 

 

Gli elaboratori della rete locale privata si avvalgono del servente DNS collocato nella rete intermedia per la risoluzione dei nomi di dominio. Conoscendo l'indirizzo del servente DNS, si scriva la direttiva che deve essere contenuta necessariamente nel file /etc/resolv.conf di ogni elaboratore della rete locale privata:

 

 

 

373.5   Configurazione del firewall

Il router-firewall viene configurato in modo da consentire l'accesso ai servizi forniti nella rete intermedia; inoltre si vuole consentire ai nodi della rete privata di accedere a servizi HTTP esterni. La configurazione del filtro di attraversamento (FORWARD) parte da una politica predefinita di eliminazione dei pacchetti; si completi il resto.

iptables -t filter -F[Invio]

iptables -t filter -P FORWARD DROP[Invio]

Si accetta l'attraversamento dei pacchetti appartenenti al protocollo ICMP:

[Invio]

 

 

Si accetta l'attraversamento dei pacchetti appartenenti al protocollo HTTP (solo TCP), individuati in base alla porta standard utilizzata dal servente di questo servizio:

[Invio]

 

 

[Invio]

 

 

Si accetta l'attraversamento dei pacchetti appartenenti al protocollo SMTP (solo TCP), individuati in base alla porta standard utilizzata dal servente di questo servizio:

[Invio]

 

 

[Invio]

 

 

Si accetta l'attraversamento dei pacchetti appartenenti al protocollo DNS (sia TCP, sia UDP), individuati in base alla porta standard utilizzata dal servente di questo servizio:

[Invio]

 

 

[Invio]

 

 

[Invio]

 

 

[Invio]

 

 

Dal momento che il router-firewall non ospita alcun servizio, si vuole escludere l'ingresso dei pacchetti provenienti dall'interfaccia esterna. La configurazione del filtro di ingresso parte da una politica predefinita di accettazione dei pacchetti, per consentire l'amministrazione del firewall dalla rete intermedia o dalla rete privata.

iptables -t filter -P INPUT ACCEPT[Invio]

È sufficiente un comando solo, nel quale si esclude tutto il traffico in ingresso proveniente dall'interfaccia esterna.

[Invio]

 

 

373.6   Configurazione del servente per la posta elettronica

Il servente per la posta elettronica, ovvero MTA, collocato nella rete intermedia, deve essere configurato in modo da accettare la richiesta di inoltro di messaggi proveniente dalla rete intermedia e dalla rete locale privata; inoltre deve provvedere al recapito locale per le richieste di consegna di messaggi provenienti sia dall'interno, sia dall'esterno. Per la precisione, l'elaboratore che ospita il servizio SMTP dispone localmente delle utenze relative alle persone che hanno la necessità di avere una casella di posta elettronica; queste persone, possono ottenere i messaggi attraverso il protocollo POP3, ma solo dalla rete interna (in tal senso, il firewall non è stato programmato allo scopo di consentire il passaggio del protocollo POP3).

Nell'elaboratore destinato a questo servizio si intende usare Exim che si configura con il file /etc/exim/exim.conf. Nel seguito vengono mostrate alcune direttive del file di configurazione di Exim, che vanno completate in modo da ottenere il risultato che ci si prefigge.

# Specify your local domains as a colon-separated list here.

local_domains = localhost:

 

 

# Domains we relay for; that is domains that aren't considered local but we 
# accept mail for them.

relay_domains = 

 

 

# The setting below allows your host to be used as a mail relay.

host_accept_relay = 127.0.0.1 : ::::1 : 

 

 

Appunti di informatica libera 2007.02 --- Copyright © 2000-2007 Daniele Giacomini -- <daniele (ad) swlibero·org>


Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome progetto_di_una_rete_completa_di_servizi_essenziali_di_firew.htm

[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [indice analitico]

Valid ISO-HTML!

CSS validator!