Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Virtual Server "distributor"

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
Hook



Registrato: 06/06/08 14:56
Messaggi: 56

MessaggioInviato: Ven Giu 06, 2008 3:31 pm    Oggetto: Virtual Server "distributor" Rispondi citando

Salve a tutti.
Sto combattendo con un problema che non riesco a risolvere:
Situazione attuale:
<IP-Pub> v
DSL adapter--> forward su 192.168.0.10 (Server FTP SSH etc.)
.....................+--> Rete Interna RED 192.168.0.0/24
.....................+--> Firewall --- Rete interna 192.168.200.0/24

Ovvero i pacchetti in arrivo via internet vengono rediretti dall'adapter (del fornitore) all'indirizzo 192.168.0.10;
All'adapter è connesso un NAT / firewall / AccessPoint che permette l'accesso dalla rete interna (192.168.200.0/24) a internet.

Un PC con due interfacce (192.168.0.10-RED e 192.168.200.10-GREEN)
fa da server FTP, VNC Reverse, HTTP, VPN, sull'interfaccia RED e accede alla rete interna via interfaccia GREEN.

Fino qui... tutto OK !

Ora voglio mettere diversi PC, ognuno server di una sola cosa.
(In realtà sono PC virtuali di VMWare, ma è lo stesso).

Il problema è che vorrei "Smistare" i pacchetti in funzione della porta. es:
Pacchetti FTP (p21) su 192.168.200.100
Pacchetti HTTP (p80) su 192.168.200.110 etc etc etc

Ho provato con ZeroShell (vers beta9)
Ho creato server virtuali come segue:

[quote]
Chain PREROUTING (policy ACCEPT 1248 packets, 370K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.200.100:21
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.200.110:80
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5500 to:192.168.200.120:5500

Chain POSTROUTING (policy ACCEPT 145 packets, 11065 bytes)
pkts bytes target prot opt in out source destination
145 11065 SNATVS all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE all -- * ETH00 0.0.0.0/0 0.0.0.0/0

Chain SNATVS (1 references)
pkts bytes target prot opt in out source destination
---------------------------------------------------------------------------
[/quote]

Se accedo dall'interno della rete (RED o GREEN) tutto OK,
ma se acceda tramite IP Pubblico........ niente!
Dove sto sbagliando ????????????

Grazie a tutti coloro che vorranno rispondermi.

P.S. Ho provato anche con Vyatta-OFR.......
configurazione più complessa ma..... stesso risultato...

Deve esseci un errore di fondo !!!!!!

Grazie, carlo
Top
Profilo Invia messaggio privato
martino87r



Registrato: 22/06/08 22:44
Messaggi: 67

MessaggioInviato: Mar Giu 24, 2008 11:14 am    Oggetto: Rispondi citando

hmm non vorrei dire stupidaggini, e se ho ben capito, vuoi smistare il traffico in entrata dal tuo IP pubblico verso altre destinazioni...

Se cio' e' corretto, ti basta creare server virtuali con idicazione del range di porte che devi reindirizzare e il gioco e' fatto...

Io lo uso cosi:

IP Pubblico: 86.xx.xx.xx

Server ZeroShell con 2 eth:

Eth0 - 192.168.0.1 - LAN
Eth1 - 192.168.1.1 - Internet1

Client:
192.168.0.3 - VNC - Porta 5801
192.168.0.4 - Server DNS - Porta 53
192.168.0.5 - Server Apache - Porta 80

Configurazione Server Virtuali in ZeroShell:

ServerViruale1 - 5800 ---> 192.168.0.3:5801
ServerVirtuale2 - 53 ---> 192.168.0.4:53
ServerVirtuale3 - 80 ---> 192.168.0.5:80

Ah e non dimenticare di abilitare Static NAT nel tuo router, oppure disattivalo e aggiungi una static route
Top
Profilo Invia messaggio privato
Hook



Registrato: 06/06/08 14:56
Messaggi: 56

MessaggioInviato: Mar Giu 24, 2008 6:35 pm    Oggetto: Rispondi citando

Innanzitutto, grazie per la risposta;
Sì hai capito giusto.
In realtà sono riuscito a fare quello che volevo, dovevo solo mettere in NAT l'interfaccia..........
Quello che ancora oggi non capisco è perchè devo NATtare la ETH00 (quella interna) e non la ETH01 (internet).
Così facendo non posso usare ZS come firewall per navigare (uscire), ma solo come "distributore" (entrante).
Visto che è installato in una consolle VMWare, risolverò installandone un secondo "al contrario".
Però la mia idea era di comprare un ALIX, con interfaccia WiFI e fare, con un solo oggetto AP, firewall, accesso esterno, DHCP e DNS.

Tu dici di usare, in alternativa una static route, ma non sò come farla!
ho provato:
Destination..........Netmask...............Type.Metric.Gateway.Interface
192.168.200.21---255.255.255.255---Host---0----------------ETH00
ma non funziona
;-( !!!

Ciao, grazie

Carlo
Top
Profilo Invia messaggio privato
martino87r



Registrato: 22/06/08 22:44
Messaggi: 67

MessaggioInviato: Mar Giu 24, 2008 10:05 pm    Oggetto: Rispondi citando

Allora aspetta.. credo che ti stai un pochino complicando la vita!

Per ora hai ZeroShell in una VM, quindi la macchina che la ospita ha di perse' un interfaccia di rete, o sbaglio? Se vuoi comunicare in mezzo a 3 reti con accesso delle porte su due interfacce, non ti resta altro da fare che NATtare le due ETH interne... (sempre se non dico stupidaggini) Embarassed

A vedere tutte quelle reti ti consiglio di semplificare un po' le cose, come esempio potresti prendere questa configurazione:



Modem ADSL/Router--->(Eth0)--->ZeroShell--->(Eth1)--->Switch--->AccessPoint e PC

Poi allo switch ti attacchi tutti i PC che vuoi, abiliti il DHCP con entry statiche per i pc che fungono da server e abiliti i ServerVirutali su ZeroShell impostando gli IP e le porte di ogni server che ti occorre.

Per funzionare da AP, il tuo router deve aver abilitato il NAT, altrimenti non funzionera' (almeno penso che sia cosi')... Qualsiasi router ti permette di definire delle NAT statiche, o servizi come li chiama la motorola, che devono essere tutti inoltrati a zeroshell, e ricorda di settare in modo giusto i numeri delle porte e il protocollo di trasporto (se TCP o UDP). Io perlomeno gestisco cosi' la mia rete aziendale, e devo dire che per ora tutto fila liscio!!!

E se vuoi comprarti un ALIX, sarebbe una scelta molto saggia, lo incastri in un box (magari artigianale Laughing ) e lo metti subito dopo il modem ADSL, cosi' hai tutto in 1 (Firewall, NAT ecc.), poi allo switch ci attacchi il tuo Access Point, che non fara' nient'altro che rimandare il segnale su etere. E il segnale verra' filtrato da ZeroShell

Hmm speriamo che ho detto giusto! Dai non uccidetemi Razz
Top
Profilo Invia messaggio privato
Hook



Registrato: 06/06/08 14:56
Messaggi: 56

MessaggioInviato: Mer Giu 25, 2008 1:48 pm    Oggetto: Rispondi citando

Ancora grazie per il tempo che mi stai dedicando!
Forse non ho dato un quadro completo:
Il PC con VMWare è dedicato solo a questo, con differenti VM per alcune funzioni dedicate.
Ci sono due schede, una "rossa" sulla rete esterna, ed una "Verde" per la rete interna.
quindi la configurazione attuale è:
ADSL->LAN-R->ETH01--> ZS -->ETH00->LAN-G->Router/AP->rete interna.
Alcuni PC/VM sulla rete "Verde" hanno funzioni che devono essere viste dall'esterno (FTP,Apache,ILO etc)
Per navigare usando ZS come NAT/Firewall devo NATtare l'interfaccia esterna(ETH01).
Ma per dirigere gli accessi all'IP pubblico ai vari server devo NATtare ETH00..... è questo che le mie conoscenze non mi portano a capire.

A complicare le cose, dovrei aggiungere un secondo provider ADSL, in fault tolerance e (se possibile) in traffic balancing.

quindi il tutto diverrà:
ADSL1(es Telecom) -> LAN-R1->ETH01-+
ADSL2(es Fastweb) -> LAN-R2->ETH02-+->Zs->ETH00->LAN-G.......

pensavo di mettere ETH01 e ETH02 in "BOND", ma come posso definire due differenti gateway?
Troppo difficile per le mie conoscenze!!!!!!

Spero di essere stato chiaro..... almeno per gli altri, per me non è chiaro nulla! SIC :-(
Top
Profilo Invia messaggio privato
martino87r



Registrato: 22/06/08 22:44
Messaggi: 67

MessaggioInviato: Gio Giu 26, 2008 1:19 am    Oggetto: Rispondi citando

Ah adesso vedo che le cose si stanno complicando un pochino...

Dunque... Per creare la ridondanza della WAN non saprei proprio darti certezze, ma credo che Fulvio ci stia gia' lavorando... Quindi penso che dovrai aspettare finche' non finisca il lavoro sul Net Balancer che supporta piu' di un Gateway, ed in questo caso, penso che facciano al caso tuo.

Non appena sara' rilasciata la versione con il Net Balancer, avrai tutto cio' di cui hai bisogno (almeno lo spero) per costruire la tua rete.

Per quanto riguarda il NAT (Network Address Translation) ti servira' sempre e su qualsiasi interfaccia di Rete che desideri far comunicare con l'esterno (WAN) tramite un IP pubblico.

Ti consiglio comunque di leggere la voce NAT su Wikipedia, tra l'altro molto esaustiva. Inoltre ti consiglio anche di seguire le voci correlate, forse ti fai un idea un po' piu' chiara di NAT Wink

Martino
Top
Profilo Invia messaggio privato
Hook



Registrato: 06/06/08 14:56
Messaggi: 56

MessaggioInviato: Gio Giu 26, 2008 10:03 am    Oggetto: Rispondi citando

Ok, Alla fine sono riuscito

Non sono riuscito a fare ciò che volevo da interfaccia Web,
perchè non permette di impostare source e destination
ma ho risolto usando il comando iptables da consolle,
Con i comandi
-----
iptables -t nat -A POSTROUTING -p all -s 192.168.200.0/24 -d 0.0.0.0/0 -o ETH01 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 0.0.0.0/0 -d 192.168.200.0/24 -o ETH00 -j MASQUERADE
-----
ho ottenuto di funzionare in entrambe le direzioni senza controindicazioni !

Per il Net Balancing.... aspetterò ancora un poco (vedo però sul forum diverse richieste in merito).

Grazie per la pazienza,
Spero di ricambiare (non so come.... ma.... )

Ciao, Carlo
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it