Avanti Indietro Indice

25. Problematiche di instradamento su una LAN

Se si è connessi ad una LAN ma si vuole comunque usare PPP sulla propria macchina Linux personale, è necessario configurare le cose in modo che i pacchetti vengano instradati, a seconda dei casi, dalla propria macchina verso la LAN (attraverso la propria interfaccia Ethernet) o verso il server PPP remoto e oltre.

Questa sezione NON ha intenzione di insegnare niente sull'instradamento, tratta semplicemente un semplice caso speciale di instradamento (statico)!

Suggerisco caldamente di leggere la Linux Network Administrator Guide (NAG) se NON si ha familiarità con l'instradamento. Anche il libro della O'Reilly "TCP/IP Network Administration" tratta questo argomento in una forma molto comprensibile.

La regola base di un instradamento statico è che l'instradamento PREDEFINITO dovrebbe essere quello che punta al MAGGIOR numero di indirizzi di rete. Per le altre reti, si aggiungano degli instradamenti specifici nella tabella di instradamento.

La SOLA situazione che ho intenzione di trattare qui è quella in cui la propria macchina Linux è in una LAN che non è connessa ad Internet, e ci si vuole connettere ad Internet per uso personale mantenendo la connessione alla LAN.

Prima di tutto, ci si assicuri che il proprio instradamento Ethernet sia impostato agli indirizzi di rete specifici disponibili nella propria LAN, e NON impostato come instradamento predefinito!

Lo si verifichi usando il comando route, che dovrebbe mostrare qualcosa di simile a quanto segue:

[root@hwin /root]# route -n
Kernel routing table
Destination   Gateway  Genmask         Flags MSS    Window Use Iface
loopback      *        255.255.255.0   U     1936   0       50 lo
10.0.0.0      *        255.255.255.0   U     1436   0      565 eth0

Se la propria interfaccia Ethernet (eth0) punta all'instradamento predefinito (la prima colonna mostrerebbe "default" nella riga di eth0), si deve modificare il proprio script di inizializzazione della Ethernet per farla puntare a dei numeri di rete specifici piuttosto che all'instradamento predefinito (si consulti il Net3 HOWTO e la NAG).

Ciò permetterà a pppd di impostare il proprio instradamento predefinito come mostrato qui sotto:

[root@hwin /root]# route -n
Kernel routing table

Destination   Gateway       Genmask         Flags MSS    Window Use Iface
10.144.153.51 *             255.255.255.255 UH    488    0        0 ppp0
127.0.0.0     *             255.255.255.0   U     1936   0       50 lo
10.1.0.0      *             255.255.255.0   U     1436   0      569 eth0
default       10.144.153.51 *               UG    488    0        3 ppp0

Come si può vedere, c'è un instradamento di tipo host verso il server PPP ( 10.144.153.51) tramite ppp0 ed anche un instradamento predefinito che usa il server PPP come gateway.

Se si necessita un impostazione più complessa di questa, si leggano i documenti sull'instradamento menzionati in precedenza e si consulti un esperto nel proprio sito!

Se la propria LAN ha già degli instradamenti, allora probabilmente saranno già stati impostati dei gateway alle altre reti disponibili nel proprio sito. In questo caso, si dovrebbe COMUNQUE far puntare il proprio instradamento predefinito all'interfaccia PPP, e rendere gli altri instradamenti specifici solamente per le reti che servono.

25.1 Note sulla sicurezza

Quando si configura una macchina Linux su una LAN già esistente per connettersi ad Internet, potenzialmente si sta aprendo l'intera LAN ad Internet, e agli hacker che ci sono. Prima di far ciò, suggerisco di consultare il proprio ammistratore di rete e le politiche di sicurezza del proprio sito. Se la propria connessione PPP ad Internet è usata per attaccare con successo il proprio sito, per quanto poco si subiranno le ire dei propri colleghi e degli amministratori di sistema e di rete. Inoltre si potrebbe andare in contro a problemi assai più seri.

Prima di connettere una LAN ad Internet, si dovrebbero considerare le implicazioni di sicurezza dettate dalla connessione DINAMICA, e quindi far riferimento al già citato libro della O'Reilly "Building Internet Firewalls"!


Avanti Indietro Indice