Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Forward tramite MAC Address

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
lcisetti



Registrato: 24/05/08 10:43
Messaggi: 31

MessaggioInviato: Sab Mag 24, 2008 10:50 am    Oggetto: Forward tramite MAC Address Rispondi citando

Saluto innanzitutto l'autore di questo progetto.

Scrivo questo post per sapere se utilizzando ZS è possibile permettere un forward (Virtual Server) da una porta chiamata ad una porta di un server interno alla LAN solo tramite MAC Address della scheda del Client che dall'esterno chiama ZS.

In pratica dovrei autorizzare (quindi forwardare) un PC che accede tramite dhcp alla rete internet indirizzandolo verso un Server della mia LAN e ovviamente verso una porta stabilità (es. 80).

Grazie in anticipo e di nuovo complimenti per il progetto ZS.

Luca
Top
Profilo Invia messaggio privato
theskid



Registrato: 29/01/08 15:40
Messaggi: 63

MessaggioInviato: Sab Mag 24, 2008 7:57 pm    Oggetto: Rispondi citando

So che ti potra' sembrare stupido come osservazione, ma la devo fare...
non fai prima a metter su il dns e imporre come nome del server che si trova internamente l'ip privato che vuoi che corrisponda ad esso?

Salute
Top
Profilo Invia messaggio privato Yahoo MSN
lcisetti



Registrato: 24/05/08 10:43
Messaggi: 31

MessaggioInviato: Sab Mag 24, 2008 8:04 pm    Oggetto: Rispondi citando

e come si potrebbe fare ?

Grazie

Luca
Top
Profilo Invia messaggio privato
theskid



Registrato: 29/01/08 15:40
Messaggi: 63

MessaggioInviato: Sab Mag 24, 2008 8:18 pm    Oggetto: Rispondi citando

allora io ho dei server publici con ip publico sulla mia rete che hanno un gateway per fatti loro poi ho i pc del point che ovviamente hanno un GW per fatti loro le due rewti sono mischiate sugli stessi switch una ha ip privati l'altra ha ip publici hop dato un alias alle schede dui rete dei server su rete privata cosi' da poter essere raggiunti dai client del point (che ti ho detto essere su rete privata) ora ovviameente se faccio semplicemente forwardare il dns tramite ZS quando andro' a risoplvere il nome del mio server mi verra' restituito l'ip che per essere ragiunto dovra' seguire una rotta che esce dal GW a servizio della rete privata e torna sul GW a servizio della rete dei server pubblici. Ottenebndo cosi' un inutile transito per internet una riduzione di banda ma soprattutto un evitabile rallentamento. Io non ho fatto altro che prendere il DNS di ZS metter su una bella zona dove il nome del server che voglio raggiungere viene scritto utilizzando l'ip privato (alias dell'ip pubblico).

In ogni caso e' piu' complicato da scrivere che da fare, Salute
Top
Profilo Invia messaggio privato Yahoo MSN
lcisetti



Registrato: 24/05/08 10:43
Messaggi: 31

MessaggioInviato: Dom Mag 25, 2008 4:03 pm    Oggetto: Rispondi citando

Ciao theskid,

io ho provato ad andare nella gestione dns di zeroshell, ma non trovo assolutamente dove indicare un MAC address della scheda (quindi del pc) che deve essere autorizzato al forward verso un server interno.

Luca
Top
Profilo Invia messaggio privato
theskid



Registrato: 29/01/08 15:40
Messaggi: 63

MessaggioInviato: Dom Mag 25, 2008 5:48 pm    Oggetto: Rispondi citando

perche non c'e' infatti io ho detto di fare un alias alla eth del server in maniera tale da non uscire su internet e contemporaneamente dire al dns di ZS che il nome (che normalmente si risolve con il DNS pubblico) e un ip prvato.
se non e' questo quello che cerchi non ho capito il problema.
Top
Profilo Invia messaggio privato Yahoo MSN
lcisetti



Registrato: 24/05/08 10:43
Messaggi: 31

MessaggioInviato: Lun Mag 26, 2008 10:43 am    Oggetto: Rispondi citando

Ciao,

scusami, ma credo che non sia stato chiaro io sin dall'inizio.

La mia situazione è questa:

Mio IP Pubblico: 85.96.25.17

Mia Rete LAN: 192.168.0.0

Server web interno: 192.168.0.100
(riservato ad un cliente che accede guarda caso tramite connessione di libero.it quindi 151.xxx.xxx.xxx).

Io devo autorizzare SOLO quel pc all'ingresso sul server 192.168.0.100 porta 80 e l'unico identificativo che posso controllare del mio cliente è il suo mac address e NON il suo IP in quanto variabile.

Grazie ancora.

Luca
Top
Profilo Invia messaggio privato
theskid



Registrato: 29/01/08 15:40
Messaggi: 63

MessaggioInviato: Lun Mag 26, 2008 7:25 pm    Oggetto: Rispondi citando

a domanda corretta risposta corretta il tuo cliente ha un ip statico? se si autorizza il tuo server a rispondere solo a quello se no VPN altra possibile rule e' su iptable ma e' un po piu' complessa da spiegare. ancora il tuo cliente interroga il server sulla 80 o ha una porta sua ?
Bada ti sto rispondendo di getto e l'unica soluzione che vedo oltre la VPN e uno scriptino per il Firewall che bindi alle domande che arrivano verso la porta del server una analisi sul mac il che e' possibile ma subito non ricordo come. Ti diro' qualcosa di meglio quando saro' a casa nella speranza di avere ancora le cervella oggi e' stata una giornata durissima (sono saltate un bordello di adsl a 7 mega)

Salute
Top
Profilo Invia messaggio privato Yahoo MSN
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Lun Mag 26, 2008 9:23 pm    Oggetto: Rispondi citando

lcisetti ha scritto:
Io devo autorizzare SOLO quel pc all'ingresso sul server 192.168.0.100 porta 80 e l'unico identificativo che posso controllare del mio cliente è il suo mac address e NON il suo IP in quanto variabile.


Scusa se mi intrometto, ma se non ho capito male il tuo cliente accede tramite Internet.
Se è così non potrai mai controllare il suo mac address che è "visibile" solo all'interno di segmenti Layer2 (quindi LAN oppure VPN).
Le connessioni Internet ti arrivano in Layer3. Il protocollo IP è routable e lavora ad un livello più alto, non si ragiona quindi in termini di mac address ma di indirizzi IP.
Se l'IP del tuo cliente è dinamico non hai alcun modo di filtrare in modo da consentirgli di entrare unicamente lui. Devi per forza utilizzare una VPN.

Ciao
Massimo
Top
Profilo Invia messaggio privato
theskid



Registrato: 29/01/08 15:40
Messaggi: 63

MessaggioInviato: Lun Mag 26, 2008 10:52 pm    Oggetto: Rispondi citando

BigTrumpet ha scritto:
Se è così non potrai mai controllare il suo mac address che è "visibile" solo all'interno di segmenti Layer2 (quindi LAN oppure VPN).


Scusa Massimo, il cliente in questione dovrebbe accedere a internet sempre da un interfaccia di rete adesso che sia un modem o che sia una Ethernet con ip pubblico o che sia l'interfaccia wan del suo router non dovrebbe sempre avere un mac identificativo e univoco?

Salute
Top
Profilo Invia messaggio privato Yahoo MSN
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Mer Mag 28, 2008 8:45 am    Oggetto: Rispondi citando

theskid ha scritto:
BigTrumpet ha scritto:
Se è così non potrai mai controllare il suo mac address che è "visibile" solo all'interno di segmenti Layer2 (quindi LAN oppure VPN).


Scusa Massimo, il cliente in questione dovrebbe accedere a internet sempre da un interfaccia di rete adesso che sia un modem o che sia una Ethernet con ip pubblico o che sia l'interfaccia wan del suo router non dovrebbe sempre avere un mac identificativo e univoco?


Non importa il fatto che usi una interfaccia ethernet per accedere a Internet.
Il problema è che tra lui e te magari i pacchetti devono attraversare 20 router di diversi gestori (caso classico quando siete posizionati a una certa distanza geografica) e ogni router è una macchina che "lavora a livello 3", ovvero tratta degli IP e si dimentica completamente dei MAC address (layer 2).
In pratica un router conosce SOLO i MAC address delle macchine fisicamente connessi alle sue interfacce ethernet. La stessa cosa si può dire di qualsiasi PC.
Prova infatti a fare il comando "arp -a" dal tuo pc o dal tuo router (ti mostra il contenuto della ARP table, ovvero le associazioni fra IP e MAC).

Ciao
Massimo
Top
Profilo Invia messaggio privato
lcisetti



Registrato: 24/05/08 10:43
Messaggi: 31

MessaggioInviato: Mer Mag 28, 2008 10:59 am    Oggetto: Rispondi citando

Buongiorno a tutti.

Quindi se ho capito bene l'unico modo per risolvere il problema sarebbe far accedere quel cliente attraverso VPN ?

Perchè il suo MAC effettivo non lo rileverò mai dal mio firewall ?

Grazie

Luca
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Mer Mag 28, 2008 11:32 am    Oggetto: Rispondi citando

lcisetti ha scritto:
Buongiorno a tutti.

Quindi se ho capito bene l'unico modo per risolvere il problema sarebbe far accedere quel cliente attraverso VPN ?

Perchè il suo MAC effettivo non lo rileverò mai dal mio firewall ?

Grazie

Luca


Esattamente, però imho c'è una scappatoia. Che ho provato ora, per un esigenza simile alla tua...

Chiedi a quel cliente di usare un servizio tipo NO-IP, e di associare, quando va su internet, il suo ip dinamico, ad un hostname rilasciato gratuitiamente da no-ip. (esiste un software client gratuito che puo' farlo da solo e a gratis)

A quel punto, te vai sulla tua zs via web, e nella sezione router, esegui il nat dell'interfaccia che ha l'ip pubblico.

A quel punto vai via ssh in shell alla zeroshell e scrivi una regola come questa (metti caso tu volessi reindirizzare la porta 8080 su di un tuo server locale sulla medesima porta)

Codice:

iptables -A PREROUTING -t nat -p tcp -s hostname.no-ip.com -d tuoindirizzoipstatico --dport 8080 -j DNAT --to indirizzoiplanserver:8080


quando vorrai cancellare questa regola dovrai fare

Codice:
iptables -F PREROUTING -t nat



Mi rimane però oscuro, come renderla permanente ad ogni riavvio della zeroshell, per poi eventualmente rimuoverla dall'avvio...
Top
Profilo Invia messaggio privato
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Mer Mag 28, 2008 1:36 pm    Oggetto: Rispondi citando

Fabero ha scritto:

Mi rimane però oscuro, come renderla permanente ad ogni riavvio della zeroshell, per poi eventualmente rimuoverla dall'avvio...


Questa è la parte più semplice.
Menu Setup -> Startup
(This script is stored in /etc/rc.local and automatically executed)
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Mer Mag 28, 2008 1:41 pm    Oggetto: Rispondi citando

BigTrumpet ha scritto:
Fabero ha scritto:

Mi rimane però oscuro, come renderla permanente ad ogni riavvio della zeroshell, per poi eventualmente rimuoverla dall'avvio...


Questa è la parte più semplice.
Menu Setup -> Startup
(This script is stored in /etc/rc.local and automatically executed)


Lo pensavo, ma non sapevo a che punto viene startato quello script..

Se così è, è facile!
Top
Profilo Invia messaggio privato
theskid



Registrato: 29/01/08 15:40
Messaggi: 63

MessaggioInviato: Mer Mag 28, 2008 8:23 pm    Oggetto: Rispondi citando

BigTrumpet ha scritto:
In pratica un router conosce SOLO i MAC address delle macchine fisicamente connessi alle sue interfacce ethernet. La stessa cosa si può dire di qualsiasi PC.
Prova infatti a fare il comando "arp -a" dal tuo pc o dal tuo router (ti mostra il contenuto della ARP table, ovvero le associazioni fra IP e MAC).


Piu' che corretto il fatto e' non ci sono abituato a lavorare a livello 3 in genere apparati come i FiBridge lavorano a livello 2 chiedo venia per la svista.

Salute
Top
Profilo Invia messaggio privato Yahoo MSN
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it