9. Configurazioni avanzate

Esiste un'altra configurazione di cui vorrei parlare prima di chiudere questo documento. Quelle che ho già descritto probabilmente saranno sufficienti per la maggior parte delle persone. Tuttavia, ho intenzione di mostrare una configurazione più avanzata in grado di chiarire alcune questioni. Se avete domande relativamente a quanto è stato descritto finora, o se siete semplicemente interessati alla versatilità dei proxy server e dei firewall, continuate la lettura.

9.1 Una rete ampia con enfasi sulla sicurezza

Supponiamo, ad esempio, di voler mettere in rete il proprio sito. Si possiedono 50 computer e una sottorete di 32 (5 bit) numeri IP. Servono diversi livelli di accesso all'interno della rete. Pertanto, è necessario proteggere certe parti della rete dal resto.

I livelli sono:

1. Il livello esterno. Si tratta del livello disponibile a tutti. È il luogo dove si cercano nuovi volontari.
2. Truppa. Questo è il livello di persone che hanno superato il livello esterno. È il luogo vengono istruiti sul governo diabolico e su come fabbricare delle bombe.
3. Mercenari. Questo è il livello dove sono tenuti i piani veri. In questo livello sono memorizzate tutte le informazioni su come il governo del terzo mondo ha intenzione di conquistare il mondo, i piani che coinvolgono Newt Gingrich, Oklahoma City, i prodotti di bassa importanza e cosa è immagazzinato veramente nell'hangar dell'area 51.

Impostazione della rete

I numeri IP sono costruiti in modo che:

• Un numero è 192.168.2.255, che rappresenta l'indirizzo di trasmissione e non è utilizzabile.
• 23 dei 32 indirizzi IP sono allocati a 23 macchine che saranno accessibili da Internet.
• Un IP extra va ad una Linux box sulla rete.
• Un IP extra va a un'altra Linux box sulla rete.
• Due IP vanno al router.
• Quattro sono lasciati liberi, ma ad essi sono assegnati nomi di dominio quali paul, ringo, john, e george, tanto per confondere un po' le idee.
• Le reti protette hanno entrambe gli indirizzi 192.168.2.xxx.

Quindi, vengono costruite due reti separate, ognuna localizzata in posti diversi. L'istradamento può avvenire tramite Ethernet a infrarossi in modo che sia completamente invisibile alle postazioni esterne. Fortunatamente, ethernet a infrarossi funziona esattamente come ethernet normale.

Queste reti sono entrambe connesse a uno dei box Linux tramite un indirizzo IP extra.

Esiste in file server che connette le due reti protette. Questo perché i piani per conquistare il mondo coinvolgono alcune delle Truppe di livello più alto. Il file server mantiene l'indirizzo 192.168.2.17 della rete della Truppa e l'indirizzo 192.168.2.23 della rete dei Mercenari. Deve avere due indirizzi IP differenti poiché possiede due diverse schede Ethernet. L'IP Forwarding è disabilitato.

Il forwarding IP è disabilitato anche su entrambe le Linux box. Il router non inoltrerà pacchetti destinati a 192.168.2.xxx se non gli viene richiesto esplicitamente di farlo, pertanto Internet non sarà in grado di entrare. La ragione per cui disabilitare IP Forwarding è che in questo modo i pacchetti provenienti dalla rete della Truppa non saranno in grado di raggiungere la rete dei Mercenari, e viceversa.

Il server NFS può essere impostato in modo da offrire file diversi a reti diverse. Questo può tornare utile, e un piccolo trucco con i link simbolici può fare in modo che i file comuni possano essere condivisi con chiunque. L'utilizzo di questa impostazione e di un'altra scheda ethernet può offrire questo unico file server a tutte e tre le reti.

Impostazione del Proxy

Ora, dal momento che tutti e tre i livelli vogliono essere in grado di monitorare la rete per i propri scopi, tutti e tre hanno bisogno di un accesso alla rete. La rete esterna è connessa direttamente ad internet, pertanto in questo caso non dobbiamo preoccuparci dei proxy server. Le reti dei Mercenari e della Truppa si trovano al di là del firewall, pertanto è necessario impostare dei proxy server.

Entrambe le reti hanno un'impostazione molto simile. Ad entrambe vengono assegnati gli stessi indirizzi IP. Inserirò un paio di parametri, solo per rendere le cose più interessanti.

1. Nessuno può utilizare il file server per l'accesso ad Internet. Questo espone il file server a virus e altri problemi, ed è molto importante, pertanto da evitare.
2. Non verrà consentito l'accesso della Truppa al World Wide Web. dal momento che sono in addestramento, questo potere di recuperare le informazioni potrebbe essere pericoloso.

Pertanto, il file sockd.conf sul box Linux della Truppa conterrà la riga:

    deny 192.168.2.17 255.255.255.255

e sulla macchina Mercenari:

    deny 192.168.2.23 255.255.255.255

Inoltre, il box Linux della Truppa conterrà la riga:

    deny 0.0.0.0 0.0.0.0 eq 80

che indica di negare l'accesso al tutte le macchine che cercano di accedere alla porta uguale (eq) a 80, la porta http. Questo continuerà a consentire tutti gli altri servizi, ma nega solamente l'accesso a Web.

Quindi, entrambi i file conterranno:

    permit 192.168.2.0 255.255.255.0

per consentire a tutti i computer sulla rete 192.168.2.xxx di utilizzare questo proxy server fatta eccezione per quelli ai quali l'accesso è già stato negato (cioè, il file server e l'accesso a Web per la rete Truppa).

Il file sockd.conf della Truppa avrà il seguente formato:

    deny 192.168.2.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.2.0 255.255.255.0

e il file Mercenari:

    deny 192.168.2.23 255.255.255.255
    permit 192.168.2.0 255.255.255.0

Questo dovrebbe configurare tutto correttamente. Ogni rete è isolata di conseguenza, con l'appropriato numero di interazioni.

Ora siete pronti a conquistare il mondo!