Sophie

Sophie

distrib > Mandriva > 9.1 > i586 > by-pkgid > f1098342ec4a2b28475e34123ce17201 > files > 233

howto-html-it-9.1-0.5mdk.noarch.rpm

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9">
 <TITLE>Firewalling and Proxy Server HOWTO: Configurazioni avanzate</TITLE>
 <LINK HREF="Firewall-HOWTO-13.html" REL=next>
 <LINK HREF="Firewall-HOWTO-11.html" REL=previous>
 <LINK HREF="Firewall-HOWTO.html#toc12" REL=contents>
</HEAD>
<BODY>
<A HREF="Firewall-HOWTO-13.html">Avanti</A>
<A HREF="Firewall-HOWTO-11.html">Indietro</A>
<A HREF="Firewall-HOWTO.html#toc12">Indice</A>
<HR>
<H2><A NAME="s12">12. Configurazioni avanzate</A></H2>

<P>Esiste un'altra configurazione di cui vorrei parlare prima di concludere
questo documento. Quelle che ho gi&agrave; descritto probabilmente saranno
sufficienti per la maggior parte delle persone. Tuttavia, ho intenzione
di mostrare una configurazione pi&ugrave; avanzata in grado di chiarire alcune
questioni. Se avete domande relative a quanto &egrave; stato descritto
finora, o se siete semplicemente interessati alla versatilit&agrave; dei proxy
server e dei firewall, continuate la lettura.
<P>
<H2><A NAME="ss12.1">12.1 Una rete ampia con enfasi sulla sicurezza</A>
</H2>

<P>Supponiamo, ad esempio, di voler mettere in rete il nostro sito. Si
possiedono 50 computer e una sottorete di 32 (5 bit) numeri IP. Servono
diversi livelli di accesso all'interno della rete. Pertanto, &egrave;
necessario proteggere certe parti della rete dal resto. 
<P>I livelli sono:
<OL>
<LI>Il livello esterno. Si tratta del livello disponibile a
tutti. &Egrave; il luogo dove si cercano nuovi volontari.</LI>
<LI><B>Truppa</B>. Questo &egrave; il livello di persone che hanno superato
il livello esterno. &Egrave; il luogo dove vengono istruiti sul governo diabolico
e su come fabbricare le bombe.</LI>
<LI><B>Mercenari</B>. Questo &egrave; il livello dove sono tenuti i piani
<EM>veri</EM>. In questo livello sono memorizzate tutte le informazioni su
come il governo del terzo mondo ha intenzione di conquistare il mondo,
i piani che coinvolgono Newt Gingrich, Oklahoma City, i prodotti di
minor importanza e cosa &egrave; immagazzinato veramente negli hangar
dell'area 51.</LI>
</OL>
<P>
<P>
<H3>Impostazione della rete</H3>

<P>I numeri IP sono arrangiati in modo tale che:
<P>
<UL>
<LI>Un numero utilizzato sia 192.168.1.255, che rappresenta l'indirizzo di
broadcast non utilizzabile. </LI>
<LI>23 dei 32 indirizzi IP siano allocati a 23 macchine che saranno poi 
accessibili da Internet.</LI>
<LI>Un IP extra sia assegnato ad una Linux box della rete.</LI>
<LI>Un IP extra sia assegnato ad un'altra Linux box della rete.</LI>
<LI>Due IP siano assegnati al router.</LI>
<LI>Quattro siano lasciati liberi, ma ad essi siano comunque assegnati nomi di
dominio quali paul, ringo, john, e george, tanto per confondere un po' le
idee.</LI>
<LI>Le reti protette abbiano entrambe gli indirizzi 192.168.1.xxx.</LI>
</UL>
<P>Quindi, vengono costruite due reti separate, ognuna localizzata in stanze 
diverse. L'instradamento pu&ograve; avvenire tramite Ethernet a infrarossi in modo
che sia completamente invisibile alle postazioni esterne.
Fortunatamente, l'ethernet a infrarossi funziona esattamente come l'ethernet
normale.
<P>Queste reti sono entrambe connesse ad una delle box Linux tramite un
indirizzo IP extra.
<P>Esiste un file server che connette le due reti protette. Questo perch&eacute; i
piani per conquistare il mondo coinvolgono alcune delle Truppe di
livello pi&ugrave; alto. Il file server mantiene l'indirizzo 192.168.1.17
della rete della Truppa e l'indirizzo 192.168.1.23 della rete dei
Mercenari. Deve avere due indirizzi IP differenti poich&eacute; possiede due
diverse schede Ethernet. L'IP Forwarding &egrave; disabilitato. 
<P>Il forwarding IP &egrave; disabilitato anche su entrambe le Linux box. Il
router non inoltrer&agrave; pacchetti destinati a 192.168.1.xxx se non gli
sar&agrave; richiesto esplicitamente di farlo, pertanto Internet non sar&agrave; in
grado di entrare. La ragione per cui si &egrave; scelto di disabilitare l'IP Forwarding &egrave; che
in questo modo i pacchetti provenienti dalla rete della Truppa non
saranno in grado di raggiungere la rete dei Mercenari, e viceversa.
<P>Il server NFS pu&ograve; essere impostato in modo da offrire file diversi a
reti diverse. Questo pu&ograve; tornare utile, e un piccolo trucco con i link
simbolici pu&ograve; fare in modo che i file comuni possano essere condivisi
con chiunque. L'utilizzo di questa impostazione e di un'altra scheda
ethernet pu&ograve; offrire questo unico file server a tutte e tre le reti.
<P>
<P>
<H3>Impostazione del Proxy</H3>

<P>Ora, dal momento che tutti e tre i livelli vogliono essere in grado di
monitorare la rete per i propri scopi, tutti e tre hanno bisogno di un
accesso alla rete. La rete esterna &egrave; connessa direttamente ad
internet, pertanto in questo caso non dobbiamo preoccuparci dei proxy 
server. Le reti dei Mercenari e della Truppa si trovano al di l&agrave; del
firewall, pertanto &egrave; necessario impostare dei proxy server.
<P>Entrambe le reti hanno un'impostazione molto simile. Ad entrambe vengono
assegnati gli stessi indirizzi IP. Inserir&ograve; un paio di parametri, solo
per rendere le cose pi&ugrave; interessanti.
<P>
<OL>
<LI>Nessuno pu&ograve; utilizzare il file server per l'accesso ad Internet.
Questo esporrebbe il file server a virus ed altri problemi, ed &egrave; quindi molto
importante e assolutamente da evitare.</LI>
<LI>Non verr&agrave; consentito l'accesso della Truppa al World Wide Web, dal
momento che sono in addestramento, questo potere di recupero di 
informazioni potrebbe essere pericoloso.</LI>
</OL>
<P>Pertanto, il file sockd.conf sulla box Linux della Truppa conterr&agrave; la
riga: 
<P>
<PRE>
    deny 192.168.1.17 255.255.255.255
</PRE>
<P>e sulla macchina Mercenaria:
<P>
<PRE>
    deny 192.168.1.23 255.255.255.255
</PRE>
<P>Inoltre, la box Linux della Truppa avr&agrave; anche la seguente linea:
<P>
<PRE>
    deny 0.0.0.0 0.0.0.0 eq 80
</PRE>
<P>che indica di negare l'accesso a tutte le macchine che cercano di
accedere alla porta uguale (eq) a 80, la porta http. Questa continuer&agrave;
a consentire tutti gli altri servizi, nega solo l'accesso al Web.
<P>Quindi, entrambi i file conterranno:
<P>
<PRE>
    permit 192.168.1.0 255.255.255.0
</PRE>
<P>per consentire a tutti i computer sulla rete 192.168.1.xxx di
utilizzare questo proxy server, fatta eccezione per quelli ai quali
l'accesso &egrave; gi&agrave; stato negato (cio&egrave;, il file server e l'accesso al Web
per la rete Truppa).
<P>
<P>Il file sockd.conf della Truppa avr&agrave; il seguente formato:
<PRE>
    deny 192.168.1.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.1.0 255.255.255.0
</PRE>

mentre il file Mercenario avr&agrave;:
<PRE>
    deny 192.168.1.23 255.255.255.255
    permit 192.168.1.0 255.255.255.0
</PRE>
<P>Questo dovrebbe configurare tutto correttamente. Ogni rete &egrave; isolata di
conseguenza, con l'appropriato numero di interazioni.
Tutti dovrebbero essere felici.
<P>
<HR>
<A HREF="Firewall-HOWTO-13.html">Avanti</A>
<A HREF="Firewall-HOWTO-11.html">Indietro</A>
<A HREF="Firewall-HOWTO.html#toc12">Indice</A>
</BODY>
</HTML>

Perl :: Catalyst :: PostgreSQL :: RPM Valid HTML 4.01 Transitional