Corso Cisco System Networking Academy
A cura di  Marino Marcello e Costa Ennio

Docente Prof. Lorenzo Lento Società di Incoraggiamento Arti e Mestieri
… se io ho una mela e tu hai una mela, e noi ci scambiamo le mele, entrambi avremo una mela. Ma se io ho un’idea e tu hai un’idea e noi ci scambiamo le idee, entrambi avremo due idee…

INDICE

1. Introduzione
2. Panoramica
3. Quello che serve
4. Funzioni del router
5. Filtraggio dei pacchetti ip e masquerading
6. Scelta degli indirizzi per la rete privata
7. Tipologia di configurazione dinamico o statico
8. La rete interna 192.168.1.0
9. Il coyote fa da router
10. Progetto raffigurativo
11. Foto 

1. INTRODUZIONE

Il nostro progetto prevede l’utilizzo di un firewall/router LINUX, uno switch di tipo intelligente ed un numero variabile di workstation collegate alla rete realizzata con i primi due apparecchi.
Lo scopo del progetto è quello di collegare una rete di dimensioni medio piccole al server di un provider.
Il progetto e stato diviso in parti distinte:

1. realizzazione di un firewall/router LINUX;
2. programmazione del firewall/router con le access list;
3. programmazione dei client interni e del servizio di DNS
4. collaudo generale.

2. PANORAMICA.

Una rete informatica è un insieme di computer collegati tra loro da una rete di comunicazione in modo che ogni computer possa scambiare dati con altri computer della rete. All’interno di una rete informatica ci sono ruoli ben definiti, quali server (servitori), che hanno il compito di gestire e mettere a disposizione degli altri computer i dati, i programmi o i servizi, i client (clienti) computer principalmente interessati a ricevere informazioni, ed i router (instradatori), dispositivivi che si limitano a dirigere il traffico di queste vere e proprie “ragnatele informatiche”.

3. QUELLO CHE SERVE

L’hardware necessario per realizzare una rete locale LAN dipende dal metodo che si vuole utilizzare per attivare la condivisione. Se si decide di utilizzare LINUX per dedicare un personal computer esclusivamente alla funzione di Gateway (firewaal/router) è più che sufficiente un vecchio personal computer, anche un valoroso 486.

4. FUNZIONI DEL ROUTER.

Il router (instradatore) svolge solo la funzione del GATEWAY e del FIREWALL/ROUTER. Esistono diversi tipi di protezione possibili, alcune delle quali dovrebbero essere utilizzate contemporaneamente nella costruzione di un firewall, per massimizzare la sicurezza mediante più livelli di protezione.
Un firewall (componente attivo) è dotato di due interfacce di rete, una verso la rete privata da proteggere, l’altra verso quella pubblica. I casi più frequenti sono ethernet-ethernet e PPP-ethernet, nel caso il firewall gestisca anche la connessione verso provider internet.
I tipi di protezione più diffusi implementabili anche in linux sono il filtraggio dei pacchetti IP, l’utilizzo di proxy e la tecnica dell’IP masquerading (DNAT).
 

5. FILTRAGGIO DEI PACCHETTI IP e MASQUERADING

Permette, mediante il filtraggio dei pacchetti TCP/IP, di effettuare il routing ed il forwarding degli stessi, in base a condizioni (rules) predefinite dall’utente. Le scelte possibili sono quelle di accettare il pacchetto (accept), o negarlo (deny o drop), oppure di bloccarlo spedendo indietro un messaggio di porta non raggiungibile (reject). È importante ricordare che vi è la possibilità di ottenere, per ogni pacchetto trattato, una registrazione che indica come è stato trattato il pacchetto.
L’Ip masquerading (in alcuni casi DNAT) consiste nella possibilità di  mascherare gli indirizzi TCP/IP di una rete privata in modo da nasconderla verso l’esterno. Per far ciò sarà sufficiente configurare le macchine della rete affinchè utilizzino come default router la macchina linux.
 
6. SCELTA DEGLI INDIRIZZI PER LA RETE PRIVATA

Data la scarsità degli indirizzi IP, non sempre abbiamo a disposizione un numero sufficiente di indirizzi IP “ufficiali” appartententi allo spazio di indirizzamento TCP/IP, ovvero assegnati univocamente  a noi per i quali esista un routing da tutte le macchine di internet. In quasto caso si può ricorrere all’utilizzo di indirizzi appartenenti ad un sottoinsieme dello spazio di indirizzamernto TCP/IP riservto per l’utilizzo delle reti private, ovvero non connesse direttamente ad intenet. Per quasti indirizzi non è previsto il routing diretto e di cioò si dovrebbe tenere conto, ad esempio configirando i router in modo che dalla nostra rete non possano uscire pacchetti con questi numeri, ananlogamente per quanto avviene con gli indirizzi 127.x.y.z. utilizati per il loopback. Gli indirizzi scelti per essere utilizzati a questo scopo sono specificati nell’RCF 1957 e sono:

10.0.0.0 10.255.255.255 Per la classe A
172.16.0.0 172.31.255.255 Per la classe B
192.168.0.0 192.168.255.255 Per la classe C

Noi abbiamo utilizzato gli indirizzi di classe “C” la quale può essere implementata con 255 reti contigue sfruttando i 16-bit block, sfruttando a nostro favore il router come elemento di protezione, mappando le macchine della rete privata con gli indirizzi di classe “C”, e sfruttando l’indirizzo pubblico per acceder ad internet.

7. TIPOLOGIA DI CONFIGURAZIONE DINAMICO O STATICO

La prima cosa da fare è decidere per quale tipo di configurazione optare; per quanto riguarda questo discorso la scelta verrà dettata dalle esigenze personali, in ogni caso chiariamo rapidamente le due tipologie. DINAMICO (DHCP) non è altro che un server in ascolto sul sistema che riserva un certo range di indirizzi liberi da distribuire ai client man mano essi ne fanno richiesta.
La configurazine manuale (STATICA) è un po’ più lunga e complessa rispetto la precedente soprattutto nel caso di reti molto grandi, in quanto ci obbliga a configurare tutti i client singolarmente.

8. LA RETE INTERNA 192.168.1.0

Questa rete è composta da 20 workstation, dove è installato Windows 2000, ed applicativi di office automation e alcuni software che consentono il download ed upload. Gli indirizzi delle workstation sono di tipo dinamico, e presentano comunque quei requisiti di sicurezza che consentono la navigazione.

 9. IL COYOTE FA DA ROUTER.

La funzione del router integrata da un firewall  rendono questo sistema operativo ideale per “recuperare” un obsoleto personal computer, utilizzando la minidistribuzione GNU/LINUX residente in un unico floppy da 1.44”, trasformandolo in un router/firewall degno del proprio nome.
Il personal computer dedicato dovrà avere i requisiti minimi, e cioè una scheda video VGA, 32 Mb memoria RAM, due schede di rete (preferibilmente 10/100) ed un lettore floppy, abbiamo volutamente omesso  l’hard disk poiché non necessario al nostro scopo.
Una volta scaricata la distro bisogna procedere alla creazione e configurazione del disco floppy necessario al boot di Coyote Linux nel modo seguente:

Lanciato il programma visualizzeremo l’immagine

facciamo click sul tasto next,

lasciamo invariati gli indirizzi di default, e clicchiamo sul tasto next,

Inseriamo la password di root



lasciamo invariato il remote logging



Abilitiamo il flag di DHCP Assinged address e nominiamo il nostro firewall (default coyote)

lasciamo invariati il numero degli Ip per il DHCP (range .65 ~ .254)

Assegniamo le due schede di rete in base al modello installato

Clicchiamo su create disk




Qualche minuto ed il gioco è fatto.

Usciamo dalla configurazione cliccando il tasto finish.

A questo punto inseriamo il floppy appena creato nel personal computer dedicato alla funzione di router / firewall, avendo cura di configurare nel bios l’unità floppy come boot del sistema.

Attestiamo i cavi sullo switch