[Linuxtrent] Re: Openvpn

  • From: Antonio Galea <antonio.galea@xxxxxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxx
  • Date: Sun, 1 May 2011 21:36:58 +0200

2011/5/1 Asistar srl  Ivan Bolognani <bolognani@xxxxxxxxxx>:
>
> RAGA ho trovato l'errore!!!! :-(
> Devo darmi una martellata sulle dita
>
> Avevo sbagliato a scribvere un IP in masq e cosi non tornava indietro il
> ping.

Fai masquerading? Non ne hai mai parlato, e oltretutto non vedo
perché ti occorra: le tue reti non hanno overlap, e hai anche scritto
di aver messo in piedi le regole di routing necessarie... che ti
mascheri a fare, non è mica carnevale ;-)

> Cmq non riesco a capire come mai nonostante l'errore in masq, dal firewall
> lato B riuscirvo a pingare l'ip della lan LATO A.

Vedi sopra: se il routing è a posto, non hai bisogno di mascherare il
traffico.

> Ho fatto cosi perche' in questo modo ho tenuto divisi tutti i servizi dal
> firewall. Sul FW gira solo shorewall e mi gestisce 6 reti. Con varie
> autorizzazioni per passare da una all' altra ecc.
> Be anche sul server openvpn gira sorewall e passa soltanto vpn  il primo fw
> fa passare soltanto le porte che ho deciso di assegnare alle varie vpn e le
> fa arrivare direttamente su OPENVPN in dmz.
> Il serve in DMZ non vede nessun altro server se non passa dal FW
> Anche se lo compromettono sul FW sono nella lan.
> A me risulta piu comodo averlo li

Il punto è che in DMZ non si mettono le cose perché è più comodo
(non lo è affatto configurare una rete in più e le regole di fw relative),
ma perché i servizi esposti al mondo sono a rischio, e se te li bucano
e ti trovi dei crackers bravini dentro alla lan sono dolori.

Nel tuo caso, il servizio esposto serve proprio a dare accesso alla lan:
quindi non ci guadagni nulla in sicurezza a metterlo in DMZ. Ti complichi
invece la vita configurando due shorewall al prezzo di uno, delle regole di
routing che potresti evitare (devi attraversare una rete in più), delle policy
di shorewall che servono a tenere in piedi la tua particolare situazione...
di qui la mia perplessità.

Le vpn non sono niente altro che delle reti in più - a me viene molto più
naturale gestirle tutte in un unico punto che faccia lo smistamento del
traffico, così la configurazione è su una macchina sola e non su due e
il debug delle regole risulta più semplice: but that's just me, obviously.

Antonio
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 05-2011