Andrea Beggi

Nulla è impossibile per colui che non deve farlo.

La rete di casa

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Rete Andrea BeggiHo finalmente trovato un momento per riorganizzare la rete di casa. Qualunque sia il grado di complessità dell’infrastruttura, scrivere un progetto, o almeno creare uno schema prima di iniziare il lavoro, aiuta ad evitare errori concettuali.
Nel mio caso l’aspetto critico è rappresentato dall’access point LinkSys FON, che a causa delle sue caratteristiche deve essere collegato con attenzione al resto della rete. Disponendo di un firewall, ho quidi deciso di isolarlo dalla mia LAN, creando una DMZ. Cito Wikipedia: Una DMZ (demilitarized zone) è un segmento isolato di LAN (una “sottorete”) raggiungibile sia da reti interne che esterne che permette, però, connessioni esclusivamente verso l’esterno: gli host attestati sulla DMZ non possono connettersi alla rete aziendale interna.
E’ evidente che non ho realmente bisogno di tre (quattro: La Fonera ne ha due) reti wireless: le tengo attive per due motivi, principalmente: per fare dei test e per il vezzo di dire “Ho tre access point attivi”. La stampante è una vecchia inkjet HP Deskjet 850C, che fa ancora bene il suo lavoro. Ad essa ho collegato un piccolo print server per essere in grado di stampare da qualunque host senza dover dipendere per forza da un particolare computer. Non ho creato una coda di stampa condivisa, visto l’esiguo numero di stampe. Dei tre PC desktop, uno è praticamente sempre spento: lo uso perlopiù per testare nuove versioni di diversi sistemi operativi. Al momento ha due dischi con Vista RC1 e Ubuntu, ma non lo accendo da tempo. Gli altri due sono macchine XP di cui una è spesso accesa per settimane di fila, con uTorrent attivo.
Il “server” in realtà è un vecchio portatile su cui gira Debian, che uso con i seguenti servizi: Samba, http, WebDav, SSH, proxy (saltuariamente, dall’esterno via SSH quando ne ho bisogno), MySql (poco), DNS (pochissimo). Al momento della scrittura di questo post l’uptime è di 170 giorni consecutivi: mica male per un ferraccio di quasi 10 anni, dismesso da un amico.
I due portatili si connettono alla rete indifferentemente via wireless o cavo, dipende dalle circostanze.
Tutta la LAN è dietro un doppio NAT: il primo sul router, che ribalta tutto il traffico sul firewall, dove ci sono le regole di accesso ed il secondo NAT.
I prossimi passi consisteranno nello spostamento del server in DMZ, cosa che ha più senso dal punto di vista dell’architettura e della sicurezza, e installare un piccolo NAS per i backup e per avere un po’ di spazio disco in linea.

Tags: , ,

31 Commenti

Maxime | #

Non ci ho capito un cazzo. Com’è giusto che fosse, ci mancherebbe. :P

Tambu | #

non riesco a credere che stai parlando DI CASA TUA!!! mettici un paio di vezzeggiativi e romanticherie, che diamine!!! :-P

Principe | #

Bello, poi potresti mettere anche il blog in quella dmz, a me piacerebbe avere il mio blogghettino nella mia cameretta, anche se c’è il problema di quando salta la corrente.

Kurai | #

Maxime mi ha tolto le parole di bocca. Ogni volta che Andrea parla di reti, io mi sento non poco ignorante.

Davide Salerno | #

Si mi sono andato a rivedere gli appunti di Reti di calcolatori 1 e hai fatto tutto bene considerando che si tratta di casa tua ed è inutile piazzare un firewall tra la intranet ed l’unico server che hai perchè è ovvio che non ti devi proteggere da attacchi interni…
Comunque io proteggerei la zona demilitarizzata con un firewall per evitare problemi dall’esterno o forse c’è già sul router ZyXel 645R o non ho capito bene io qualcosina ma sono un attimo in debito di ossigeno

Troutman | #

Slave Andrea,
Volevo chiederti se il router con il quale sei connesso alla rete (zyxel 645R) ti ha dato molte noie e se ti capita di doverlo riavviare per problemi di qualsiasi genere.
Te lo chiedo perchè in particolare ocn il mio d-link capita che almeno una volta ogni due settimane il router, pur apparendo connesso, non da segni di vita.

Ti ringrazio per l’eventuale consiglio.

googlando | #

grazie, Andrea.

manco io ho capito una fava… ma mi son salvato stà pagina perché son sicuro che tra qualche tempo mi tornerà utile.

…è che sei troppo avanti! :D

TheDoc | #

Interessante… ma sei sicuro che la DMZ deve essere messa come hai fatto tu ?

In breve , da quanto la mia mente ricordi :

ADSL —- WAN del ROUTER -|| ROUTER||| – 1^ LAN del Router — AP Wireless ; – 2^LAN del Router —— WAN del FIREWALL || FIREWALL|| — la LAN del FIREWALL per collegare tutti i PC e gli altri AP wireless o printserver ; || la porta DMZ del FIREWALL per collegare il SERVER interno ||

In questo modo , poichè con il DMZ “tutte le porte sono aperte” , nell’ipotesi peggiore un ESTRANEO arriva al SERVER e non alla LAN interna

Brivio Stefano | #

Wow ZyXEL ZyWALL2, ne avrò installati una ventina nell’ultimo anno e devo dire che fanno sempre alla grandissima il loro sporco lavoro, 150EUR circa spese benissimo, a mio parere :)

Brivio Stefano | #

@TheDoc: non è detto da nessuna parte che in zona demilitarizzata tutte le porte sono aperte. Vengono aperti solo i socket relativi ai servizi che si vogliono offrire :)

Per quanto mi risulta, lo ZyWALL 2 non ha la porta DMZ dedicata e quindi devi in qualche modo costruirla concettualmente. Niente di difficile, il segmento di rete che collega il router al firewall lo metti su un network logico differente e su di esso applichi tutte le policy che vuoi :)

Barbara | #

Non che abbia capito molto eh? Da noi un router wireless un PC fisso e due portatili con scheda wireless finisce li.

PS Grazie al tuo grafico ho scoperto Gliffy stavo giusto cercando qualcosa di simile, thanks

Fabrizio Gentili | #

Beh… più che soffermarmi sulla struttura della rete mi piacerebbe sapere se le reazioni in famiglia sono le stesse che trovo da me, ovvero “al prossimo aggeggio che porti, loro rimangono comodi e tu esci fuori da casa” :D

Carino quel NAS, mi ci hai fatto fare un pensierino, tu su che cifre lo hai visto? Dando un’occhiata molto veloce l’ho incrociato a poco meno di cento euro…

marchino | #

Ma il server non è meglio che resti dov’è, invece che passare nella DMZ?
Mi sa che mi sfugge qualcosa.

Brivio Stefano | #

@marchino: dipende, se il server deve solo offrire generici/semplici servizi su web e, come molto probabilmente succede in una rete casalinga, non ha problemi di stratificazione su n-tiers, beh allora forse ha più senso che stia in DMZ :)

Tambu | #

N. Tiers è il figlio del grande Lars Von Tiers, no? :-P

Andrea | #

Maxime: ad ognuno il suo. Io non ci capisco una mazza nella mappe catastali.
Kurai: idem.
Tambu: adoro la mia rete, non si vede?
Principe: non posso mettere il blog in DMZ, mi servono performances, uptime e banda. Tutte cose che non posso garantire da casa.
Davice: il router fa solo un NAT, ma è più che sufficiente.
Troutman: il mio ZyXel è affidabilissimo.
The Doc: Stefano Brivio ti ha già risposto, è esattamente così.
Fabrizio: sto cambiando casa per avere una stanza in più. Il NAS costa sui 100.
Marchino: quoto nuovamente Stefano.

Giorgio | #

allora, dopo settimane che leggo e sto zitto devo postare…

“Per quanto mi risulta, lo ZyWALL 2 non ha la porta DMZ dedicata e quindi devi in qualche modo costruirla concettualmente”

ah, perchè, adesso ci sono i firewall con una porta DMZ? e come funziona? collego l’rj45 e basta?

grazie

ciao

Brivio Stefano | #

@Giorgio: sinceramente non riesco a capire se è una domanda ironica o meno :P

Comunque provo a rispondere lo stesso, certo che esistono, ormai sul mercato c’è una tale quantità di aggeggi che talvolta si rischia di perdere troppo tempo per valutarli tutti! Sono spiacente, ma non basta pinzare il plug nella porta e magicamente tutto si autoconfigura; ovviamente c’è bisogno della cucuzza di quelcuno che progetti e metta in pratica le regole di firewalling da applicare al traffico inbound ed outbond :)

Se poi c’è anche un esperto che sa fare un progetto stratificato, tanto di guadagnato, ma siamo in Italia e questo è un di più … :D

Un esempio di modello entry level, anche se con tutta la gamma di questo brand mi trovo benone: http://www.clavister.it/products/appliance_sg50_index.html

Giorgio | #

“@Giorgio: sinceramente non riesco a capire se è una domanda ironica o meno”

si, in effetti l’ho scritta un pò in modo ironico, ma senza volerlo… era una domanda tecnica…

“Sono spiacente, ma non basta pinzare il plug nella porta e magicamente tutto si autoconfigura; ovviamente c’è bisogno della cucuzza di qualcuno che progetti e metta in pratica le regole di firewalling da applicare al traffico inbound ed outbond”

allora, a questo punto mi viene una nuova domanda: allora, se c’è quella porta dove poi mi devo configurare tutto come se fosse una demilitarized normale (o quasi), a cosa serve?

grazie molte

ciao

Brivio Stefano | #

@Giorgio: temo di non capire, mi pare ovvio che una DMZ vada configurata con una policy dedicata di accesso, sarebbe alquanto fantasioso non mettere nessun filtro…

Forse sono un po’ cotto dalla giornata lavorativa, ma non afferro cosa non ti torna :(

Davide | #

Avrei una domanda…
A cosa serve in una rete domestica WebDAV?
O meglio a cosa serve WebDAV?

Giorgio | #

“@Giorgio: temo di non capire, mi pare ovvio che una DMZ vada configurata con una policy dedicata di accesso, sarebbe alquanto fantasioso non mettere nessun filtro…”

dicevo: la porta (fisica, dove ci va il connettore rj) che c’è sul firewall che differenze porta rispetto alle normali dmz (completamente virtuali)

grazie

p.s. l’iconcina che appare di fianco al tuo nick è in automatico la favicon del tuo sito?

ciao

Brivio Stefano | #

@Giorgio: Beh se ne fai un discorso di suddivisione puramente logica, la risposta è nessuna. Difatti, nel caso specifico del link segnalato, nessuno vieta di configurare la porta AUX come una seconda DMZ, magari collegata ad una rete differente in cui fornisco a mie partner un’applicazione web based per gestione ordini.

Ovviamente l’esempio è putamente inventato ;)

Si quella è la favicon del mio blog, ma che sopratutto è il logo di Debian GNU/Linux :)

Giorgio | #

“Si quella è la favicon del mio blog, ma che sopratutto è il logo di Debian GNU/Linux”

lo so… debian piace molto anche a me… solo potrebbero integrarla meglio con kde…

grazie molte per la risposta, ho capito!

ciao

Fabio L4-m0r73 | #

Complimenti per la rete, io sto studiando da sistemista, a casa mia per il momento possiedo una rete di 2 pc uno da server (un fisso) e un portatile sony che comunica felicemente con il fisso tramite un access point d-link… ho una stampante di rete con coda condivisa. firewall logici settati per evitare il conflitto di porte… mi dedico anche alla programmazione in c, c++, java, visual basic.net, e alla creazione di siti internet in html usando come editor il pacchetto macromedia mx. possedevo fino a poco tempo fa un server open nap, penso niente male per avere 18 anni!

fborry | #

Non sono alla vostra altezza e si vede dalla domanda che pongo:
Ho due pc desktop (di cui uno collegato a un modem ADSL)
e un portatile li ho collegati – con cavi standard – ad uno switch senza router(dati indirizzi IP xxx.xxx.xxx.1 .2 e .3 – l’.1 è quello con adsl). L’.1 vede il .2 e ci entra il .2 vede l’.1 ma al tentativo di entrarci messaggio “… forse non è abilitato ….” – se li pingo tutto ok.
L.1 è configurato per accedere a internet gli altri – nella rete domestica – attraverso l’.1.
Insomma non funziona un tubo.
Come fare?

Angelo Genocchi | #

Come fai con il Voip con tutti quei nat? Un ipotetico centralino lo metti in dmz?

MirKioZ | #

Direi che ci sei quasi, mi spiego, per avere una vera DMZ ti serve un altro firewall a valle del router 645r, anche in previsione del posizionamente dei server in DMZ, altrimenti i
server restano scoperti sulla rete pubblica e criteri “forti” di sicurezza per le componenti wireless (lista mac-addres host autorizzati, chiavi wep di almeno 64bit e cifratura comunicazioni), il wireless è insicuro per definizione..

MTB | #

Ciao Andrea, è da tempo che ti seguo per le tue capacità sia tecniche che oratorie. Ti volevo chiedere un piccolo favore: dalla tua spiegazione della rete domestica dici che dal primo router (io ho uno uno Zyxel 660 anzichè il tuo 645) instradi tutto tranne il WiFi sullo Zywall 2.
Io ci ho provato ma non capisco ceome devo impostare la parte WAN che mi da 3 possibilità: Ethernet, PPOE e PPTP(pag 69 del manuale). Non gli posso fornire user e pw perchè il traffico mi arriva da una periferica che si è gia autenticata sul carrier. Tu come hai fatto ?
Grazie infinite se potrai rispondermi. Marco.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>