12. Configurazioni avanzate

Esiste un'altra configurazione di cui vorrei parlare prima di concludere questo documento. Quelle che ho già descritto probabilmente saranno sufficienti per la maggior parte delle persone. Tuttavia, ho intenzione di mostrare una configurazione più avanzata in grado di chiarire alcune questioni. Se avete domande relative a quanto è stato descritto finora, o se siete semplicemente interessati alla versatilità dei proxy server e dei firewall, continuate la lettura.

12.1 Una rete ampia con enfasi sulla sicurezza

Supponiamo, ad esempio, di voler mettere in rete il nostro sito. Si possiedono 50 computer e una sottorete di 32 (5 bit) numeri IP. Servono diversi livelli di accesso all'interno della rete. Pertanto, è necessario proteggere certe parti della rete dal resto.

I livelli sono:

1. Il livello esterno. Si tratta del livello disponibile a tutti. È il luogo dove si cercano nuovi volontari.
2. Truppa. Questo è il livello di persone che hanno superato il livello esterno. È il luogo dove vengono istruiti sul governo diabolico e su come fabbricare le bombe.
3. Mercenari. Questo è il livello dove sono tenuti i piani veri. In questo livello sono memorizzate tutte le informazioni su come il governo del terzo mondo ha intenzione di conquistare il mondo, i piani che coinvolgono Newt Gingrich, Oklahoma City, i prodotti di minor importanza e cosa è immagazzinato veramente negli hangar dell'area 51.

Impostazione della rete

I numeri IP sono arrangiati in modo tale che:

• Un numero utilizzato sia 192.168.1.255, che rappresenta l'indirizzo di broadcast non utilizzabile.
• 23 dei 32 indirizzi IP siano allocati a 23 macchine che saranno poi accessibili da Internet.
• Un IP extra sia assegnato ad una Linux box della rete.
• Un IP extra sia assegnato ad un'altra Linux box della rete.
• Due IP siano assegnati al router.
• Quattro siano lasciati liberi, ma ad essi siano comunque assegnati nomi di dominio quali paul, ringo, john, e george, tanto per confondere un po' le idee.
• Le reti protette abbiano entrambe gli indirizzi 192.168.1.xxx.

Quindi, vengono costruite due reti separate, ognuna localizzata in stanze diverse. L'instradamento può avvenire tramite Ethernet a infrarossi in modo che sia completamente invisibile alle postazioni esterne. Fortunatamente, l'ethernet a infrarossi funziona esattamente come l'ethernet normale.

Queste reti sono entrambe connesse ad una delle box Linux tramite un indirizzo IP extra.

Esiste un file server che connette le due reti protette. Questo perché i piani per conquistare il mondo coinvolgono alcune delle Truppe di livello più alto. Il file server mantiene l'indirizzo 192.168.1.17 della rete della Truppa e l'indirizzo 192.168.1.23 della rete dei Mercenari. Deve avere due indirizzi IP differenti poiché possiede due diverse schede Ethernet. L'IP Forwarding è disabilitato.

Il forwarding IP è disabilitato anche su entrambe le Linux box. Il router non inoltrerà pacchetti destinati a 192.168.1.xxx se non gli sarà richiesto esplicitamente di farlo, pertanto Internet non sarà in grado di entrare. La ragione per cui si è scelto di disabilitare l'IP Forwarding è che in questo modo i pacchetti provenienti dalla rete della Truppa non saranno in grado di raggiungere la rete dei Mercenari, e viceversa.

Il server NFS può essere impostato in modo da offrire file diversi a reti diverse. Questo può tornare utile, e un piccolo trucco con i link simbolici può fare in modo che i file comuni possano essere condivisi con chiunque. L'utilizzo di questa impostazione e di un'altra scheda ethernet può offrire questo unico file server a tutte e tre le reti.

Impostazione del Proxy

Ora, dal momento che tutti e tre i livelli vogliono essere in grado di monitorare la rete per i propri scopi, tutti e tre hanno bisogno di un accesso alla rete. La rete esterna è connessa direttamente ad internet, pertanto in questo caso non dobbiamo preoccuparci dei proxy server. Le reti dei Mercenari e della Truppa si trovano al di là del firewall, pertanto è necessario impostare dei proxy server.

Entrambe le reti hanno un'impostazione molto simile. Ad entrambe vengono assegnati gli stessi indirizzi IP. Inserirò un paio di parametri, solo per rendere le cose più interessanti.

1. Nessuno può utilizzare il file server per l'accesso ad Internet. Questo esporrebbe il file server a virus ed altri problemi, ed è quindi molto importante e assolutamente da evitare.
2. Non verrà consentito l'accesso della Truppa al World Wide Web, dal momento che sono in addestramento, questo potere di recupero di informazioni potrebbe essere pericoloso.

Pertanto, il file sockd.conf sulla box Linux della Truppa conterrà la riga:

    deny 192.168.1.17 255.255.255.255

e sulla macchina Mercenaria:

    deny 192.168.1.23 255.255.255.255

Inoltre, la box Linux della Truppa avrà anche la seguente linea:

    deny 0.0.0.0 0.0.0.0 eq 80

che indica di negare l'accesso a tutte le macchine che cercano di accedere alla porta uguale (eq) a 80, la porta http. Questa continuerà a consentire tutti gli altri servizi, nega solo l'accesso al Web.

Quindi, entrambi i file conterranno:

    permit 192.168.1.0 255.255.255.0

per consentire a tutti i computer sulla rete 192.168.1.xxx di utilizzare questo proxy server, fatta eccezione per quelli ai quali l'accesso è già stato negato (cioè, il file server e l'accesso al Web per la rete Truppa).

Il file sockd.conf della Truppa avrà il seguente formato:

    deny 192.168.1.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.1.0 255.255.255.0

    deny 192.168.1.23 255.255.255.255
    permit 192.168.1.0 255.255.255.0

Questo dovrebbe configurare tutto correttamente. Ogni rete è isolata di conseguenza, con l'appropriato numero di interazioni. Tutti dovrebbero essere felici.