Salve, vorrei un conforto riguardo la configurazione delle macchine delle varie reti, mi spiego meglio:
ho configurato le reti in una VM con IPFire e configurato 4 DNS come da figura. Potrebbe sembrare una domanda banale ma è corretto configurare le macchine in ORANGE in questo modo:
IP 192.168.3.XXX
Sub 255.255.255.0
Gateway 192.168.3.1
DNS 192.168.3.1
e quelle in GREEN in questo modo:
IP 192.168.1.XXX
Sub 255.255.255.0
Gateway 192.168.1.2
DNS 192.168.1.2
Vorrei fare in modo che tutte le macchine delle sottoreti siano non solo dietro firewall ma usino altresì solamente i DNS impostati su IPFire.
Scusate la banalità ma non avendo settato nessuna regola sul firewall, dalla macchine messe sulla rete ORANGE riesco a uscire fuori (mi collego ad esempio ad altri siti web tramite browser) ma se provo a collegarmi dall'esterno verso la porta 80 o sulla 443 ad esempio (che sono nattate direttamente tramite il modem) su una delle macchine in questione, i servizi non sono raggiungibili.
ciao, si la configurazione è giusta anche se io forse piu per abitudine do delle classi diverse, ma non fraintendermi non voglio assolutamente dire che la tua scelta sia sbagliata
ricordati che la rete arancione non ha il dhcp per cui dovrai dare ad ogni client la configurazione a mano
ultima cosa se vuoi che alcuni client bypassano la configurazione del dns dovrai bloccare l'accesso esterno al firewall del dns, troverai sul sito le istruzioni come fare se non lo sai
Buongiorno Umby, grazie anzitutto per la tempestiva risposta. Non ho nessuna macchina in DHCP, se non i dispositivi (laptop, tablet, ecc..) che si collegano al wifi del modem, visto che ho preferito mettere IPFire su di una VM. Ti ringrazio per la dritta sul bypass dei DNS di talune macchine anche se attualmente non mi interessa fare una tale configurazione.
Ritornando sull'argomento firewall della rete ORANGE, continuo ad avere le medesime problematiche. Ho pensato che di default IPFire blocchi il flusso dalla RED alla DMZ, per cui ho applicato questa regola che non ha sortito però nessun effetto.
Non riesco a capire sinceramente dove sbaglio
ciao Antax, ma scusa mi sfugge la tua configurazione
ma per capire meglio le regole di default del sistema IPFire di coniglio a dare una sguardo a questa guida
Link1 (https://www.ipfireitalia.it/index.php/content_page/item/88-come-realizzare-regole-firewall)
magari se spieghi meglio come pensi di rialzare la tua struttura magari con un disegno e cosa vuoi ottenere possiamo essere più utili
Salve Umby, chiedo scusa innanzitutto per il ritardo nella risposta. In allegato invio un schizzo esemplificativo di quello che ho intenzione di fare.
Attualmente in produzione, usando il firewall del modem stesso, la configurazione di rete degli apparati è composta da indirizzi ip con subnet /22 e come gateway e DNS lo stesso ip del modem (192.168.0.1)
Volendo adottare IPFire, come configurazione di rete per LAN e DMZ ho usato quella dello schema allegato, senza aggiungere nessuna regola al firewall. Specificamente per le macchine in DMZ, queste riescono ad uscire fuori come con l'apertura di una pagina web, ma non riesco a far si che dall'esterno (dal WEB) possano raggiungere ad esempio un sito posto nel webserver.
Immaginando quindi che di default, IPFire blocchi il flusso da RED ad ORANGE, ho applicato la regola come da precedente post, ma senza alcun risultato.
Alla luce del link che mi hai postato, ora so perchè da una macchina in DMZ riesco ad uscire verso l'esterno senza problemi visto che è aperto; al contrario invece devo per forza applicare una regola al port forwading.
Sperando che non sbaglio qualcosa, immagino che dovrò impostare come regola: SOURCE l'ip 192.168.0.2 (del firewall); flaggare l'opzione NAT e scegliere Destination NAT; su Destination flaggare Destination e mettere l'IP del webserver 192.168.3.X; mentre in ultimo come protocollo ovviamente scegliere il TCP e mettere in tutti e tre i campi (Source port, destination port e external port NAT) la porta 80
Se mi confermi questa configurazione, non appena possibile procedo.
ciao Antex
se ho capito bene direi che giusto quello che hai indicato
io oltre alla porta 80 metterei anche la porta 443 ma per questo dipende da come sarà fatto il tuo sito
ps io il server DB che credo di sia appoggio al sito web lo metterei in green con una regola molta stringente tra il server web ed il server DB
in questo modo rendi molto piu difficile eventuali attacchi al server DB che alla fine è il cuore del tuo sito
se posso permettermi io cambierei anche la classe degli indirizzi IP per la tua ornage metterei una cosa del genere 172.16.x.y sempre per rendere piu sicura la tua rete visto che sara pubblica
spero che ci darai occasione di visionarlo se ti fa piacere
Ciao Umby, grazie per le dritte ma il mio era meramente un esempio applicativo di quello che devo farci, per illustrare in modo chiaro a chi legge come ho eseguito le configurazioni, che per inciso, continua a non funzionare :'(
Nella configurazione di prova, nel frattempo ho applicato queste regole, ma niente da fare...
192.168.0.1 modem
192.168.0.2 firewall
192.168.3.1 firewall
192.168.3.60 webserver
Faccio presente che nel modem le porte 80 e 443 sono correttamente nattate con con il webserver.
Ho provato anche a farsi che il flusso di queste porte era diretto al firewall ma anche qui con esito negativo.
Allego anche la schermata che mi restituisce Cloudflare ove evinco che il flusso viene bloccato dal firewall
posta la pagina di configurazione delle regole imposte
prova mettere un pc sulla Wan e vedi se raggiungi il tuo server web
Le regole le ho già postate nello screenshot allegato ed ho fatto le prove sia tramite la connessione dati del mio telefono sia con una macchina in ufficio e quindi con lo stesso ip pubblico dei server e continuo ad avere gli stessi problemi.
Se non ti chiedo troppo puoi postarmi per favore una regola del firewall per aprire ad esempio la porta 80 di una macchina (server web)?
Perchè sicuramente sbaglio qualcosa ma non riesco a capire cosa
io lo configurerei cosi
Salve Umby, niente da fare :(
Stesso problema
Per dirla tutta, non mi raggiunge nemmeno il servizio dalla stessa macchina nemmeno se provo dall'ip locale e se invece provo dalla wan mi da la schermata che posto di seguito.
Ergo parrebbe che le configurazioni di rete delle macchine e del firewall siano settate correttamente nonchè anche le regole di quest'ultimo :'(
Ciao Antax
Di default ipfire consente tutto dalla rete LAN mentre dalle altre interfacce blocca tutto.
Mi viene in mente una cosa, che non so se hai già fatto, ma nel router hai impostato la possibilità di accedere dall'esterno creando un portforwarding?
Potrebbe essere questo uno dei problemi.
ciao e buona giornata
sinceramente se con le indicazioni date non riesci raggiungere c'è una configurazione che non torna, per capire dove cercare il problema, prova collegare un pc tra il router ed il firewall e vedere se da li raggiungi la macchina, cosi eliminiamo eventuali errori sul router
Innanzitutto grazie a tutti per le risposte:
Citazione di: simone il Nov 21, 2023, 11:01 AMCiao Antax
Di default ipfire consente tutto dalla rete LAN mentre dalle altre interfacce blocca tutto.
Mi viene in mente una cosa, che non so se hai già fatto, ma nel router hai impostato la possibilità di accedere dall'esterno creando un portforwarding?
Potrebbe essere questo uno dei problemi.
Lo avevo già fatto ma benchè il router mi veda correttamente il firewall e mi abbini la porta, non appena faccio un nmap sull'ip pubblico, la porta scelta non me la lista completamente, nè chiusa nè tantomeno aperta. Perciò mi hai fatto accendere una lampadina:
Vuoi vedere che non mi fa la rotta perchè non ho impostato la regola sul router? Quindi ho aperto la porta TCP N che mi puntasse verso la N nel RED del firewall (192.168.0.2), e dal firewall ho provato a fare un mare di configurazioni, compreso il portforwarding da dalla porta N del firewall alla porta M della macchina interna (sia in LAN che in DMZ) ma senza sortire nessun risultato, tant'è che se provavo a fare un nmap sugli ip del firewall (sia LAN che DMZ) la porta che avevo configurato (ad esempio la 80) non me la elenca completamente.
Citazione di: umby il Nov 27, 2023, 08:35 AMciao e buona giornata
sinceramente se con le indicazioni date non riesci raggiungere c'è una configurazione che non torna, per capire dove cercare il problema, prova collegare un pc tra il router ed il firewall e vedere se da li raggiungi la macchina, cosi eliminiamo eventuali errori sul router
Ho effettuato le prove sia con la subnet 24, la stessa dell'indirizzo del gateway/dns/firewall, sia con altre più permissive (21 e 22), ma niente da fare.
ciao
ma scusa ma non riesco capire una cosa
se monti un pc, chiamiamolo PC Test nella posizione indicata nel disegno allegato cosa ottieni
Buon pomeriggio Umby, ottengo il medesimo errore e cioè la schermata postata relativa a Cloudflare.
Sia impostando il portforwarding del router direttamente alla porta X del web server, sia impostando la porta X sul Firewall ed il successivo inoltro sulla stessa porta del webserver, configurando su quest'ultimo come gateway/dns l'ip del ORANGE del firewall. Rimettendo come gateway l'ip del router e facendo il relativo port mapping della 443 sullo stesso, tutto ritorna funzionante
fammi capire bene, quindi se metti il pc nella posizione da me detto, da l'errore che allego immagine?
se è cosi hai configurato qualcosa di errato perche tu sei posizionato tra il router ed il firewall, Cloudflare non c'entra nella catena del flusso
verifica le impostazioni della tua macchina e le regole del tuo firewall
Buongiorno Umby, grazie ancora per l'interessamento. Visto che uso il loro servizio CDN, la schermata di Cloudflare è postata semplicemente per far vedere che il servizio non è raggiungibile via web. Non ti ho postato la screenshot da una postazione LAN, ma la schermata restituita dopo svariati secondi è quella classica del browser che non riesce a visualizzare la pagina, come se un firewall ( :-\ ovviamente ) ti blocca l'accesso. Arrivato a questo punto pensi che lasciando settata questa regola potrebbe essere di aiuto se postassi il log? In tal caso mi diresti le esatte operazioni da fare? Grazie ancora
ciao
come detto se hai configurato il servizi come indicato deve funzionare, per cui ritorno a ridire quello gia detto, i problemi possono essere in due punti, sul tuo server dove la configurazione di rete è errata, oppure una regola firewall
se posti il log si avrebbe qualche informazione aggiuntiva e si capirebbe cosa blocca, altra prova che puoi fare è collegarti alla consol del firewall e verificare il traffico di rete tramite tools
ultima prova da fare sempre dal pc di test provare a fare ping verso la macchina server e verificare dall'interfaccia web e dalla consol se la richiesta arriva e ritorna indietro
Grazie Umby, non appena posso provvedo al tutto
antax
secondo me se tu configuri in questo modo dovrebbe andare:
router port forwarding - indirizzo ip rete red fw - impostare porta in e out che ti interessa
ipfire
nella catena di forwarding (o regole del fw) impostare:
source stnadard red- flaggare la nat e scegliere la prima opzione portforwarding - fw interface automatic
destinazione: impostare ip rete interna interessata
protocollo TCP/UDP - destinazione porta quella impostata nel router.
salva e applica le regole
cosi da remoto dovresti collegare..
ciao
Ciao Simone, come avevo detto ho fatto come dici nella prima parte del messaggio ma senza esito.
Riguardo invece la seconda parte, non ricordo nello specifico il settaggio quindi non appena possibile provvedo a fare come mi suggerisci. Grazie ancora