| Precedente :: Successivo |
| Autore |
Messaggio |
charneval
Registrato: 03/04/10 16:30
Messaggi: 123
Residenza: perugia
|
 Inviato: Sab Apr 03, 2010 4:36 pm Oggetto: Zeroshell in modalità trasparente |
 |
|
Sono Andrea, e sto iniziando ad utilizzare Zeroshell in questi giorni visto che è un sistema fatto molto bene e spero implementabile per la mia rete.
Per il momento sto testando le versione virtuale visto che successivamente dovrei inserire un firewall in una rete dove non posso fare modifiche. La mia domanda è : ho la possibilità di inserire Zeroshell in modalità trasparente? Cioè tra il router ed i client senza modificare l'indirizzamento della rete ma in modo da ottenere successivamente la possibilità di fare alcune vpn host to lan.
Ho solo la possibilità di utilizzare un ip pubblico e reindirizzare tutto il traffico verso un ip della lan che pensavo di impostare come ip della eth02.
Credo che per fare questa configurazione dovrei avere la eth0 e la eth1 in bridge sullo stesso indirizzo ip e quindi sulla classe di rete gia esistente 192.168.60.x. Il router ha ip 192.168.60.253 e per il momento ha una regola di nat verso un server della rete che non posso modificare.
Grazie
Andrea
_________________
ADALAB Officina Informatica Perugia |
|
| Top |
|
 |
Francesco Steno
Registrato: 26/03/10 14:59
Messaggi: 181
|
| Inviato: Sab Apr 03, 2010 5:57 pm Oggetto: Re: Zeroshell in modalità trasparente |
|
|
| charneval ha scritto: | Sono Andrea, e sto iniziando ad utilizzare Zeroshell in questi giorni visto che è un sistema fatto molto bene e spero implementabile per la mia rete.
Per il momento sto testando le versione virtuale visto che successivamente dovrei inserire un firewall in una rete dove non posso fare modifiche. La mia domanda è : ho la possibilità di inserire Zeroshell in modalità trasparente? Cioè tra il router ed i client senza modificare l'indirizzamento della rete ma in modo da ottenere successivamente la possibilità di fare alcune vpn host to lan.
Ho solo la possibilità di utilizzare un ip pubblico e reindirizzare tutto il traffico verso un ip della lan che pensavo di impostare come ip della eth02.
Credo che per fare questa configurazione dovrei avere la eth0 e la eth1 in bridge sullo stesso indirizzo ip e quindi sulla classe di rete gia esistente 192.168.60.x. Il router ha ip 192.168.60.253 e per il momento ha una regola di nat verso un server della rete che non posso modificare.
Grazie
Andrea |
Potresti essere plu' preciso ? pui cambiare l'indirizzo del router ? Il router offre dei servizi all'interno della rete ?
Perche' se vuoi far passare tutto il traffico all'interno di ZeroShell, devi per forza di cosa impostarlo come gateway predefinito, e quindi dovrai porre la tua ZS tra la rete e il router.
Se il router offre dei servizi, come DHCP ecc ecc, valuta la possibilita' di far offrire tali servizi da ZS, in modo da usare il router come modem, collegandolo quindi all'altra interfaccia di ZS.
Se non puoi cambiare l'IP del router, puoi valutare la soluzione di dividere la rete in due, tramite subnettings, lasciano da un lato l'IP del router invariato ....
Dacci una paronamica della rete, e dei lavori che vuoi fare, in modo dettagliato .... |
|
| Top |
|
|
charneval
Registrato: 03/04/10 16:30
Messaggi: 123
Residenza: perugia
|
| Inviato: Sab Apr 03, 2010 6:41 pm Oggetto: |
|
|
Posso fare tutte le modifiche che voglio al router e quindi anche cambiare indirizzo ip ma ho alcune regole di nat verso un server della rete interna.
Le porte 21 - 5900 - 3389 - 80 1494 sono nattate da un ip pubblico 85.37.x.x verso l'ip interno 192.168.60.x e questo servizio al momento è importante che il router non smetta di implementarlo.
Il router è un cisco della serie 800.
Potrei utilizzare un'altro ip pubblico che ho disponibile per reindirizzare tutto a ZS e poi ricrearmi nuove regole di nat oppure utilizzarlo per open vpn.
Io vorrei un consiglio da voi del forum su come inserire ZS nella rete nel miglior modo possibile.
Andrea
_________________
ADALAB Officina Informatica Perugia |
|
| Top |
|
|
Francesco Steno
Registrato: 26/03/10 14:59
Messaggi: 181
|
| Inviato: Dom Apr 04, 2010 2:43 am Oggetto: |
|
|
| charneval ha scritto: | Posso fare tutte le modifiche che voglio al router e quindi anche cambiare indirizzo ip ma ho alcune regole di nat verso un server della rete interna.
Le porte 21 - 5900 - 3389 - 80 1494 sono nattate da un ip pubblico 85.37.x.x verso l'ip interno 192.168.60.x e questo servizio al momento è importante che il router non smetta di implementarlo. |
Questo servizio, non è proprio un NAT (un Network Address Traslation), ma un redirect di alcune porte verso un IP interno, e potresti gestirlo in vari modi con ZeroShell es: tramite Router -> Virtual Server
| charneval ha scritto: | Il router è un cisco della serie 800.
Potrei utilizzare un'altro ip pubblico che ho disponibile per reindirizzare tutto a ZS e poi ricrearmi nuove regole di nat oppure utilizzarlo per open vpn. |
Questo che dici e' sicuramente una soluzione, ma ne hai altre piu' semplici. Una ad esempio e' quella di disabilitare le regole sul CISCO 800, per poi implementarle sulla macchina ZeroShell. Dovresti, per farla breve, usare il tuo CISCO, come modem, e collegarlo fisicamente ad un interfaccia della macchina ZeroShell. Mentre l'altra interfaccia di ZeroShell, che non e' collegata al CISCO, la poni su uno switch/hub della rete interna.
Un'altra soluzione piu' brillante, e' quella di utilizzare le altre porte ethernet del tuo CISCO (se ne ha, come ad esempio il CISCO 857) per dirottare il traffico verso i servizi FTP, HTPP ecc.. su VLAN diverse e dividere cosi' il traffico in ingresso... In questo modo puoi mettere la macchina dove hai il tuo server (quella con indirizzo 192.168.60.x) direttamente su una porta ethernet del CISCO, e su un'altra porta ci colleghi ZS cosi' da inviare il resto del traffico nella rete locale.
Questo ti da la possibilita' di giocherellare con l'IOS del tuo CISCO, ed avere una realta' piu' ampia nella tua rete.... con questo voglio dire, che in un ipotetico futuro, avrai una situazione dove potrai scegliere di utilizzare un CISCO per demilitarizzare una zona (una parte di rete), oppure farlo con la tua macchina ZeroShell utilizzando una terza scheda di rete....
Con questa seconda soluzione avrai + scelta, non avrai un single point of failure, e non perderai dimistichezza con l'IOS ne con Linux ....
| charneval ha scritto: | Io vorrei un consiglio da voi del forum su come inserire ZS nella rete nel miglior modo possibile.
Andrea |
Queste due soluzioni sono quelle che ora mi sembrano le piu' appropriate allo scenario che tu hai posto... ma di sicuro non sono le uniche. Credo, anzi, sono certo, che ce ne siano delle altre, e magari qualcuno si fara' sentire .....
 |
|
| Top |
|
|
giogio
Registrato: 04/04/10 08:58
Messaggi: 3
|
| Inviato: Dom Apr 04, 2010 9:12 am Oggetto: Trasparenza di Zero Shell |
|
|
Salve a tutti, ho implementato ZS da una settimana e lo trovo davvero utile. Penso di avere lo stessa esigenza di F. Steno.
La rete che gestisco ha 4 vlan router/firewall/dhcp gestiti dal router Cisco 2821.
I dipendenti utilizzano 1 della 4 vlan : IP pubblici.
La mia configurazione di ZS dovrebbe fnzionare in modalità bridge, e dare IP pubblici diversi per ogni utente.
Al momente invece ho questa conf.
eth00 192.168.0.xx eth01 150.x.x.x
tutti gli utenti prendono un ip privato in dhcp (gestito ZS) e navigano su internet con il medesimo IP pubblico della eth01.
Ho provato a mettere briged anziche router ma non mi fa settare nessuna eth.
dove sbaglio.
saluti
_________________
giovanni |
|
| Top |
|
|
Francesco Steno
Registrato: 26/03/10 14:59
Messaggi: 181
|
| Inviato: Dom Apr 04, 2010 9:48 am Oggetto: Re: Trasparenza di Zero Shell |
|
|
| giogio ha scritto: | Salve a tutti, ho implementato ZS da una settimana e lo trovo davvero utile. Penso di avere lo stessa esigenza di F. Steno.
La rete che gestisco ha 4 vlan router/firewall/dhcp gestiti dal router Cisco 2821.
I dipendenti utilizzano 1 della 4 vlan : IP pubblici.
La mia configurazione di ZS dovrebbe fnzionare in modalità bridge, e dare IP pubblici diversi per ogni utente.
Al momente invece ho questa conf.
eth00 192.168.0.xx eth01 150.x.x.x
tutti gli utenti prendono un ip privato in dhcp (gestito ZS) e navigano su internet con il medesimo IP pubblico della eth01.
Ho provato a mettere briged anziche router ma non mi fa settare nessuna eth.
dove sbaglio.
saluti |
Potresti essere + preciso, magari farci un disegnino che mostri il layout della rete ? Ci dici magari quanti IP pubblici hai, e come vorresti utilizzarli ? Quante schede ethernet ha il tuo cisco, e magari come hai configurato ZeroShell ....  |
|
| Top |
|
|
giogio
Registrato: 04/04/10 08:58
Messaggi: 3
|
| Inviato: Dom Apr 04, 2010 12:58 pm Oggetto: |
|
|
questa la configurazione.
http://dl.dropbox.com/u/2950039/zsconf.pdf
il router ha 4 porte ma ne usa solo una.
vorrei attivare il servizio solo per una parte della rete, ovvero quella dei visitatori.
saluti.
[/img]
_________________
giovanni |
|
| Top |
|
|
charneval
Registrato: 03/04/10 16:30
Messaggi: 123
Residenza: perugia
|
| Inviato: Lun Apr 05, 2010 2:18 pm Oggetto: |
|
|
grazie mille per i consigli molto utili che mi hai dato, la soluzione di usare il cisco come modem e far fare tutto a Zs credo sia per me la più veloce da implementare, anche se il discorso delle Vlan mi ha davvero incuriosito.
Se dovessi inserire il server in una Vlan e Zs in un altra Vlan però poi avrei il problema di collegare le macchine che stanno dietro a Zs al server e quindi hai servizi che lui offre. Oppure mi sto sbagliando e c'è una soluzione per fare questo?
Voglio un po' studiare il discorso delle Vlan nel Cisco e vedere come lui le gestisce visto che non le ho mai implementare.
Grazie
Andrea
_________________
ADALAB Officina Informatica Perugia |
|
| Top |
|
|
Francesco Steno
Registrato: 26/03/10 14:59
Messaggi: 181
|
| Inviato: Mar Apr 06, 2010 11:34 am Oggetto: |
|
|
| charneval ha scritto: | grazie mille per i consigli molto utili che mi hai dato, la soluzione di usare il cisco come modem e far fare tutto a Zs credo sia per me la più veloce da implementare, anche se il discorso delle Vlan mi ha davvero incuriosito.
Se dovessi inserire il server in una Vlan e Zs in un altra Vlan però poi avrei il problema di collegare le macchine che stanno dietro a Zs al server e quindi hai servizi che lui offre. Oppure mi sto sbagliando e c'è una soluzione per fare questo?
Voglio un po' studiare il discorso delle Vlan nel Cisco e vedere come lui le gestisce visto che non le ho mai implementare.
Grazie
Andrea |
La soluzione c'è, e devi implementarla con l'IOS di CISCO, in modo da dirigere il traffico proveniente dalla tua rete locale, verso i server sulla tua VLan (o DMZ)
Quando sull'interfaccia di ZeroShell locale es: 192.168.0.0/24, arriva una richiesta destinata alla rete 192.168.1.0/24 (dove hai i server), tale richesta viene gestita dal default gateway di ZS e quindi il traffico viene inviato all'altra interfaccia, dove si trova il CISCO.
Tale macchina vedra' su una sua porta FastEthernet, un traffico proveniente da ZS, e destinato ad una macchina che si trova su una VLan, e deve quindi gestire tale connessione inviandola sull'interfaccia FastEthernet sulla quale sa che si trovano i Server, evitando di inviare il traffico in Internet, o su un'altra rete.
In questo modo hai i Server gestiti solo dall'apparato CISCO. Se vuoi filtrare anche il traffico proveniente dalla rete interna, puoi farlo o con l'IOS stesso, dando accesso solo ad alcuni servizi provenienti dalla rete interna, oppure puoi farlo con l'ausilio di ZS, utilizzando i Virtual Server.
In questo modo garantisci ai server, il solo traffico per i soli servizi che tu vuoi offrire. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Gruppi
Registrati
Profilo
Log in
Messaggi privati
