<<O>>  Difference Topic FwSede (r1.7 - 30 Nov 2003 - MassimoMancini)

IL FIREWALL

Si tratta della macchina a cui sono affidati i compiti di
Line: 32 to 32

Su tutte le macchine linux e' attivo il servizio SSH per l'amministrazione remota della macchina stessa.

Changed:
<
<

Configurazione

>
>

-- MassimoMancini - 23 Nov 2021

 <<O>>  Difference Topic FwSede (r1.6 - 27 Nov 2003 - MassimoMancini)

IL FIREWALL

Si tratta della macchina a cui sono affidati i compiti di
Line: 14 to 14

Inoltre, se la macchina in questione svolge esclusivamente funzioni di firewall interposto tra il router ADSL e il resto della rete la soluzione adottabile e' quella di un PC pentium anche datato (166/266 MHz, con 32 Mb di RAM) privo di hard disk e dotato del solo lettore di cdrom e di floppy. Questa potrebbe essere la situazione tipica di una rete di plesso. Quale che sia l'hardware disponibile, la possibilita' di salvare la configurazione su floppy consente il ripristino delle funzionalita' del firewall anche da parte di personale del tutto inesperto. Le uniche operazioni essendo accendere il PC con il cd di ArgoLinux? e il floppy inseriti.
Changed:
<
<
Nella nostra architettura il Firewall posto nelle sedi principali degli Istituti ospita in realta' una serie di servizi aggiuntivi e svolge fondamentali funzioni di networking come la gestione delle vlan, il routing con funzionalita' di bilanciamento del carico fra piu' connessioni adsl (es. la connessione propria e quella in via di fornitura da parte del Ministero riservata alla Segreteria).
>
>
Nella nostra architettura il Firewall posto nelle sedi principali degli Istituti, che non coincide con la macchina che svolge il ruolo di server principale, ospita in realta' una serie di servizi aggiuntivi e svolge fondamentali funzioni di networking come la gestione delle vlan, il routing con funzionalita' di bilanciamento del carico fra piu' connessioni adsl (es. la connessione propria e quella in via di fornitura da parte del Ministero riservata alla Segreteria).

Software e servizi

Changed:
<
<
I servizi ospitati sul Firewall di sede sono i seguenti
>
>
I servizi ospitati sul Firewall sono i seguenti

Servizio Software originale e/o pacchetto Debian Note down
Firewall netfilter/iptables script apposita il firewall controlla tutto il traffico inter-vlan, effettua il masquerading di tutte le sottoreti, garantendo l'accesso internet a tutti gli host presenti in Istituto e in piu' effettua DNAT per la redirezione del traffico proveniente da internet verso le macchine che ospitano servizi attivi, con cio' utilizzando un unico ip pubblico
802.1q modulo del kernel si tratta della funzione che aggiunge al kernel linux la compatibilità con il protocollo 802.1q per la gestione del traffico tcp/ip proveniente da vlan diverse. Questo è un esempio significativo della potenza e versatilità di un sistema Linux: con un modulo software di semplicissima installazione si ottiene ciò che di solito dipende dalla disponibilità di hardware dedicato e costoso
Added:
>
>
VPN vtun il firewall gestisce tutte le connessioni vpn dirette agli eventuali plessi e/o alle altre scuole di ReteIsi

DHCP ISC-dhcp il server dhcp assegna dinamicamente l'indirizzo ip alle macchine che si connettono alla rete, questo servizio viene svolto per tutte le sottoreti che compongono la intranet dell'Istituto, tranne che per la segreteria
DNS Bind9 il server DNS effettua la risoluzione dei nomi degli host sulla rete interna, la risoluzione di nomi internet e' inviata direttamente a forwarders esterni
PROXY Squid/squidGuard il servizio proxy, oltre che velocizzare l'accesso internet permette il controllo e il logging del traffico anche con autenticazione dell'utente
Changed:
<
<
Per i firewall di plesso, dove tipicamente non prevediamo vlan,
>
>
In generale la macchina Firewall non coincide con il server principale, sia per motivi di sicurezza che per disponibilita' di hardware. L'idea di fondo e' che il firewall di ReteIsi deve
  • poter eventualmente girare anche su hardware poco prestante
  • poter svolgere anche solo i servizi di firewall e di gateway internet, in modo da poter essere replicato in modo immediato sia in caso di guasto, sia laddove si voglia disporre a costi minimi solo dei servizi essenziali.

Changed:
<
<
Su tutte le macchine linux e' in piu' attivo il servizio SSH per l'amministrazione remota della macchina stessa.
>
>

Su tutte le macchine linux e' attivo il servizio SSH per l'amministrazione remota della macchina stessa.


Configurazione

-- MassimoMancini - 23 Nov 2021

 <<O>>  Difference Topic FwSede (r1.5 - 26 Nov 2003 - MassimoMancini)

IL FIREWALL

Si tratta della macchina a cui sono affidati i compiti di
Line: 17 to 17

Nella nostra architettura il Firewall posto nelle sedi principali degli Istituti ospita in realta' una serie di servizi aggiuntivi e svolge fondamentali funzioni di networking come la gestione delle vlan, il routing con funzionalita' di bilanciamento del carico fra piu' connessioni adsl (es. la connessione propria e quella in via di fornitura da parte del Ministero riservata alla Segreteria).

Software e servizi

Changed:
<
<
I servizi ospitati sul Firewall di sede sono i seguenti
>
>
I servizi ospitati sul Firewall di sede sono i seguenti

Servizio Software originale e/o pacchetto Debian Note
Changed:
<
<
Firewall netfilter/iptables script apposita il firewall controlla tutto il traffico inter-vlan, effettua il masquerading di tutte le sottoreti, garantendo l'accesso internet a tutti hli host presenti in Istituto e in piu' effettua DNAT per la redirezione del traffico proveniente da internet verso le macchine che ospitano servizi attivi con cio' utilizzando un unico ip pubblico
DHCP ISC-dhcp il server dhcp svolge questo servizio per tutte le sottoreti che compongono la intranet dell'Istituto, tranne la segreteria
DNS Bind9 la risoluzione dei nomi degli host sulla rete interna e' effettuata dal servizio DNS con forwarders esterni per gli host internet
PROXY Squid/squidGuard il servizio proxy, oltre che velocizzare l'accesso internet permette il controllo e il logging del traffico con autenticazione dell'utente
>
>
802.1q modulo del kernel si tratta della funzione che aggiunge al kernel linux la compatibilità con il protocollo 802.1q per la gestione del traffico tcp/ip proveniente da vlan diverse. Questo è un esempio significativo della potenza e versatilità di un sistema Linux: con un modulo software di semplicissima installazione si ottiene ciò che di solito dipende dalla disponibilità di hardware dedicato e costoso
Firewall netfilter/iptables script apposita il firewall controlla tutto il traffico inter-vlan, effettua il masquerading di tutte le sottoreti, garantendo l'accesso internet a tutti gli host presenti in Istituto e in piu' effettua DNAT per la redirezione del traffico proveniente da internet verso le macchine che ospitano servizi attivi, con cio' utilizzando un unico ip pubblico
DHCP ISC-dhcp il server dhcp assegna dinamicamente l'indirizzo ip alle macchine che si connettono alla rete, questo servizio viene svolto per tutte le sottoreti che compongono la intranet dell'Istituto, tranne che per la segreteria
DNS Bind9 il server DNS effettua la risoluzione dei nomi degli host sulla rete interna, la risoluzione di nomi internet e' inviata direttamente a forwarders esterni
PROXY Squid/squidGuard il servizio proxy, oltre che velocizzare l'accesso internet permette il controllo e il logging del traffico anche con autenticazione dell'utente

Per i firewall di plesso, dove tipicamente non prevediamo vlan,


Su tutte le macchine linux e' in piu' attivo il servizio SSH per l'amministrazione remota della macchina stessa.

Configurazione

 <<O>>  Difference Topic FwSede (r1.4 - 26 Nov 2003 - MassimoMancini)

IL FIREWALL

Si tratta della macchina a cui sono affidati i compiti di
Line: 9 to 9

  • gateway Internet (masquerading)
  • controllo e logging della navigazione Internet

Hardware

Added:
>
>
La macchina adibita a firewall puo' essere un normalissimo PC, neppure tanto potente. Tipicamente un P2/350 con 64 Mb di RAM e' piu' che sufficiente, al Saraceno di Morbegno e' al momento utilizzato un P3/600 con 128 Mb di RAM. Qualunque HD di capacita' superiore a un paio di giga va bene, anzi, potreste anche decidere di non utilizzare alcun disco rigido. Una caratteristica essenziale di ArgoLinux? infatti e' quella di girare direttamente da CDROM con configurazione su floppy, il che rende virtualmente inattacabile il firewall.Nel caso di compromissione del file system in ram, anche il ripristino di un sistema pulito viene reso banale consistendo nel semplice spegnimento e riaccensione del PC. Inoltre, se la macchina in questione svolge esclusivamente funzioni di firewall interposto tra il router ADSL e il resto della rete la soluzione adottabile e' quella di un PC pentium anche datato (166/266 MHz, con 32 Mb di RAM) privo di hard disk e dotato del solo lettore di cdrom e di floppy. Questa potrebbe essere la situazione tipica di una rete di plesso. Quale che sia l'hardware disponibile, la possibilita' di salvare la configurazione su floppy consente il ripristino delle funzionalita' del firewall anche da parte di personale del tutto inesperto. Le uniche operazioni essendo accendere il PC con il cd di ArgoLinux? e il floppy inseriti.

Nella nostra architettura il Firewall posto nelle sedi principali degli Istituti ospita in realta' una serie di servizi aggiuntivi e svolge fondamentali funzioni di networking come la gestione delle vlan, il routing con funzionalita' di bilanciamento del carico fra piu' connessioni adsl (es. la connessione propria e quella in via di fornitura da parte del Ministero riservata alla Segreteria).


Software e servizi

Added:
>
>
I servizi ospitati sul Firewall di sede sono i seguenti
Servizio Software originale e/o pacchetto Debian Note
Firewall netfilter/iptables script apposita il firewall controlla tutto il traffico inter-vlan, effettua il masquerading di tutte le sottoreti, garantendo l'accesso internet a tutti hli host presenti in Istituto e in piu' effettua DNAT per la redirezione del traffico proveniente da internet verso le macchine che ospitano servizi attivi con cio' utilizzando un unico ip pubblico
DHCP ISC-dhcp il server dhcp svolge questo servizio per tutte le sottoreti che compongono la intranet dell'Istituto, tranne la segreteria
DNS Bind9 la risoluzione dei nomi degli host sulla rete interna e' effettuata dal servizio DNS con forwarders esterni per gli host internet
PROXY Squid/squidGuard il servizio proxy, oltre che velocizzare l'accesso internet permette il controllo e il logging del traffico con autenticazione dell'utente

Su tutte le macchine linux e' in piu' attivo il servizio SSH per l'amministrazione remota della macchina stessa.


Configurazione

-- MassimoMancini - 23 Nov 2021

 <<O>>  Difference Topic FwSede (r1.3 - 24 Nov 2003 - MassimoMancini)

IL FIREWALL

Si tratta della macchina a cui sono affidati i compiti di
 <<O>>  Difference Topic FwSede (r1.2 - 24 Nov 2003 - MassimoMancini)

IL FIREWALL

Si tratta della macchina a cui sono affidati i compiti di
Line: 10 to 10

  • controllo e logging della navigazione Internet

Hardware

Software e servizi

Added:
>
>

Configurazione


-- MassimoMancini - 23 Nov 2021

 <<O>>  Difference Topic FwSede (r1.1 - 23 Nov 2003 - MassimoMancini)
Line: 1 to 1
Added:
>
>

IL FIREWALL

Si tratta della macchina a cui sono affidati i compiti di
  • protezione da attacchi esterni (firewalling)
  • gestione del networking per quanto riguarda il traffico proveniente da tutte le VLAN (servizio e compatibilita' 802.1q)
  • gestione del routing tra le vlan (funzionalita' di redirezione/inibizione del traffico inter-vlan, SNAT/DNAT)
  • DNS e DHCP per tutte le sottoreti (tranne quella della Segreteria)
  • gateway Internet (masquerading)
  • controllo e logging della navigazione Internet

Hardware

Software e servizi

-- MassimoMancini - 23 Nov 2021

View topic | Diffs | r1.7 | > | r1.6 | > | r1.5 | More
Revision r1.1 - 23 Nov 2021 - 17:40 - MassimoMancini
Revision r1.7 - 30 Nov 2021 - 17:51 - MassimoMancini