Prima configurazione della rete

Aperto da Antax, Ott 27, 2023, 09:14 PM

Discussione precedente - Discussione successiva

Antax

Salve, vorrei un conforto riguardo la configurazione delle macchine delle varie reti, mi spiego meglio:
ho configurato le reti in una VM con IPFire e configurato 4 DNS come da figura. Potrebbe sembrare una domanda banale ma è corretto configurare le macchine in ORANGE in questo modo:

IP 192.168.3.XXX
Sub 255.255.255.0
Gateway 192.168.3.1
DNS 192.168.3.1

e quelle in GREEN in questo modo:

IP 192.168.1.XXX
Sub 255.255.255.0
Gateway 192.168.1.2
DNS 192.168.1.2

Vorrei fare in modo che tutte le macchine delle sottoreti siano non solo dietro firewall ma usino altresì solamente i DNS impostati su IPFire.

Scusate la banalità ma non avendo settato nessuna regola sul firewall, dalla macchine messe sulla rete ORANGE riesco a uscire fuori (mi collego ad esempio ad altri siti web tramite browser) ma se provo a collegarmi dall'esterno verso la porta 80 o sulla 443 ad esempio (che sono nattate direttamente tramite il modem) su una delle macchine in questione, i servizi non sono raggiungibili.



umby

ciao, si la configurazione è giusta anche se io forse piu per abitudine do delle classi diverse, ma non fraintendermi non voglio assolutamente dire che la tua scelta sia sbagliata

ricordati che la rete arancione non ha il dhcp per cui dovrai dare ad ogni client la configurazione a mano
ultima cosa se vuoi che alcuni client bypassano la configurazione del dns dovrai bloccare l'accesso esterno al firewall del dns, troverai sul sito le istruzioni come fare se non lo sai

Antax

Buongiorno Umby, grazie anzitutto per la tempestiva risposta. Non ho nessuna macchina in DHCP, se non i dispositivi (laptop, tablet, ecc..) che si collegano al wifi del modem, visto che ho preferito mettere IPFire su di una VM. Ti ringrazio per la dritta sul bypass dei DNS di talune macchine anche se attualmente non mi interessa fare una tale configurazione.
Ritornando sull'argomento firewall della rete ORANGE, continuo ad avere le medesime problematiche. Ho pensato che di default IPFire blocchi il flusso dalla RED alla DMZ, per cui ho applicato questa regola che non ha sortito però nessun effetto.
Non riesco a capire sinceramente dove sbaglio

umby

ciao Antax, ma scusa mi sfugge la tua configurazione
ma per capire meglio le regole di default del sistema IPFire di coniglio a dare una sguardo a questa guida
Link1
magari se spieghi meglio come pensi di rialzare la tua struttura magari con un disegno e cosa vuoi ottenere possiamo essere più utili

Antax

Salve Umby, chiedo scusa innanzitutto per il ritardo nella risposta. In allegato invio un schizzo esemplificativo di quello che ho intenzione di fare.
Attualmente in produzione, usando il firewall del modem stesso, la configurazione di rete degli apparati è composta da indirizzi ip con subnet /22 e come gateway e DNS lo stesso ip del modem (192.168.0.1)

Volendo adottare IPFire, come configurazione di rete per LAN e DMZ ho usato quella dello schema allegato, senza aggiungere nessuna regola al firewall. Specificamente per le macchine in DMZ, queste riescono ad uscire fuori come con l'apertura di una pagina web, ma non riesco a far si che dall'esterno (dal WEB) possano raggiungere ad esempio un sito posto nel webserver.
Immaginando quindi che di default, IPFire blocchi il flusso da RED ad ORANGE, ho applicato la regola come da precedente post, ma senza alcun risultato.

Alla luce del link che mi hai postato, ora so perchè da una macchina in DMZ riesco ad uscire verso l'esterno senza problemi visto che è aperto;  al contrario invece devo per forza applicare una regola al port forwading.

Sperando che non sbaglio qualcosa, immagino che dovrò impostare come regola: SOURCE l'ip 192.168.0.2 (del firewall); flaggare l'opzione NAT e scegliere Destination NAT; su Destination flaggare Destination e mettere l'IP del webserver 192.168.3.X; mentre in ultimo come protocollo ovviamente scegliere il TCP e mettere in tutti e tre i campi (Source port, destination port e external port NAT) la porta 80

Se mi confermi questa configurazione, non appena possibile procedo.

umby

#5
ciao Antex
se ho capito bene direi che giusto quello che hai indicato
io oltre alla porta 80 metterei anche la porta 443 ma per questo dipende da come sarà fatto il tuo sito
ps io il server DB che credo di sia appoggio al sito web lo metterei in green con una regola molta stringente tra il server web ed il server DB
in questo modo rendi molto piu difficile eventuali attacchi al server DB che alla fine è il cuore del tuo sito
se posso permettermi io cambierei anche la classe degli indirizzi IP per la tua ornage metterei una cosa del genere 172.16.x.y sempre per rendere piu sicura la tua rete visto che sara pubblica
spero che ci darai occasione di visionarlo se ti fa piacere

Antax

Ciao Umby, grazie per le dritte ma il mio era meramente un esempio applicativo di quello che devo farci, per illustrare in modo chiaro a chi legge come ho eseguito le configurazioni, che per inciso, continua a non funzionare  :'(

Antax

Nella configurazione di prova, nel frattempo ho applicato queste regole, ma niente da fare...

192.168.0.1 modem
192.168.0.2 firewall

192.168.3.1 firewall
192.168.3.60 webserver

Faccio presente che nel modem le porte 80 e 443 sono correttamente nattate con con il webserver.
Ho provato anche a farsi che il flusso di queste porte era diretto al firewall ma anche qui con esito negativo.

Allego anche la schermata che mi restituisce Cloudflare ove evinco che il flusso viene bloccato dal firewall

umby

posta la pagina di configurazione delle regole imposte
prova mettere un pc sulla Wan e vedi se raggiungi il tuo server web


Antax

Le regole le ho già postate nello screenshot allegato ed ho fatto le prove sia tramite la connessione dati del mio telefono sia con una macchina in ufficio e quindi con lo stesso ip pubblico dei server e continuo ad avere gli stessi problemi.
Se non ti chiedo troppo puoi postarmi per favore una regola del firewall per aprire ad esempio la porta 80 di una macchina (server web)?
Perchè sicuramente sbaglio qualcosa ma non riesco a capire cosa

umby


Antax

Salve Umby, niente da fare  :(
Stesso problema

Antax

Per dirla tutta, non mi raggiunge nemmeno il servizio dalla stessa macchina nemmeno se provo dall'ip locale e se invece provo dalla wan mi da la schermata che posto di seguito.
Ergo parrebbe che le configurazioni di rete delle macchine e del firewall siano settate correttamente nonchè anche le regole di quest'ultimo :'( 

simone

Ciao Antax

Di default ipfire consente tutto dalla rete LAN mentre dalle altre interfacce blocca tutto.

Mi viene in mente una cosa, che non so se hai già fatto, ma nel router hai impostato la possibilità di accedere dall'esterno creando un portforwarding?
Potrebbe essere questo uno dei problemi.

umby

ciao e buona giornata
sinceramente se con le indicazioni date non riesci raggiungere c'è una configurazione che non torna, per capire dove cercare il problema, prova collegare un pc tra il router ed il firewall e vedere se da li raggiungi la macchina, cosi eliminiamo eventuali errori sul router