Gateway con OpenBSD

classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Gateway con OpenBSD

Mailing List Manager
----- Forwarded message from procypher <procypher(at)gmail.com> -----
From: procypher <procypher(at)gmail.com>
To: openbsd(at)sikurezza.org
Subject: Gateway con OpenBSD

Buongiorno a tutta la lista.
In questi giorni sto pensando di mettere in piedi un gateway di sicurezza
basato su OpenBSD 3.9.
Nello specifico ci? che intendo fare ? questo:

PF (Firewall) ---------- VPN con IPSec (ESP Tunnel) ---------- NAT (ed
eventualmente Access Point)

La domanda ? questa:

Come posso dare l'indirizzo IP pubblico che ora risiede sul mio router Zyxel
a questo primo "server" della mia rete LAN per fare in modo che appaia come
la mia prima macchina verso Internet?
L'obiettivo ? quello di spostare gradualmente tutti i servizi che svolge il
router Zyxel al gateway OpenBSD.
Le soluzioni che ho pensato potrebbero essere 2:

1) Trasformare il mio server con OpenBSD in un modem magari con hardware
specifico da inserire sul server e i relativi protocolli.In tal caso chiedo
consiglio.
2) Traslare (in modo a me non noto) l'indirizzo IP pubblico dal modem-router
attuale verso OpenBSD.

Mettendo il router Zyxel in modalit? bridge togliendo tutti i servizi che
ha, usandolo solo com modem per il supporto PPPoA?E' fattibile?
Io voglio dare un IP pubblico al server che ora ? interno e ha indirizzo
privato.
Vi prego aiutatemi perch? sono indeciso su cosa fare e su come ? meglio
fare....
Grazie
-------------------------------
 Francesco Baraldi
-------------------------------


----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: Gateway con OpenBSD

Marco Munari
Mailing List Manager <[hidden email]> writes:

>From: procypher <procypher(at)gmail.com>
...
>PF (Firewall) ---------- VPN con IPSec (ESP Tunnel) ---------- NAT (ed
>eventualmente Access Point)
...
>Come posso dare l'indirizzo IP pubblico che ora risiede sul mio router Zyxel
>a questo primo "server" della mia rete LAN per fare in modo che appaia come
>la mia prima macchina verso Internet?
>L'obiettivo ? quello di spostare gradualmente tutti i servizi che svolge il
>router Zyxel al gateway OpenBSD.

>Le soluzioni che ho pensato potrebbero essere 2:

>1) Trasformare il mio server con OpenBSD in un modem magari con hardware
>specifico da inserire sul server e i relativi protocolli.In tal caso chiedo
>consiglio.

Ti tocchera` spegnerlo... Non mi sono mai affidato a modem
incorporati, ricordo solo di aver letto di Alcatel USB con
driver firmware binario che ho voluto evitare.

>2) Traslare (in modo a me non noto) l'indirizzo IP pubblico dal modem-router
>attuale verso OpenBSD.

Non hai detto che Zyxel hai, comunque probabilmente lo puoi
trasformare in un bridge

telnet zyxel
Password:
Al Main Menu:

1. General Setup
   ...
   Bridge= Yes

Oppure usare SUA (~ Service User Addresses)

                           Menu 15 - SUA Server Setup

                     Port #         IP  Address
                     ------       ---------------
                   1.Default      ip.of.openbsd.machine



io non te lo consiglio.


>Mettendo il router Zyxel in modalit? bridge togliendo tutti i servizi che
>ha, usandolo solo com modem per il supporto PPPoA?E' fattibile?

IPsec (ESP, AH) sono protocolli IP, e la
modalita` bridge del modem dovrebbe essere piena a livello IP.
Gli zyxel hanno anche un interessante filtro a livello di maschera
dell'header del pacchetto, per filtrare anche sui codici di protocollo.

Direi che non solo e` fattibile, ma e` la soluzione piu` facile.

>Io voglio dare un IP pubblico al server che ora ? interno e ha indirizzo
>privato.

Personalmente non sono per i bridge passivi perche` e`
sempre hardware acceso a monte, se c'e` rotazione dell'ip il tuo
server vede gli IP pubblici e puo` essere raggiunto con l'ip pubblico
per i servizi che scegli, non e` una necessita` che l'interfaccia
ethernet abbia direttamente in IP pubblico a meno di network ad
alto carico e performances.

>Vi prego aiutatemi perch? sono indeciso su cosa fare e su come ? meglio
>fare....
>Grazie

see also   man ipsec

PS: Ho visto che su questa mailing list ci sono molti iscritti a gmail.com,
    qualcuno degli iscritti puo` inviarmi un codice per la creazione
    della mia utenza (possibilente mar), grazie.

Saluti dall'Irlanda,
MARco
--
x(t),y(t) = th(3t-34.5)*e^[-(3t-34.5)^2]/2-4.3+e^(-1.8/t^2)/(.8*atg(t-
3)+2)(t-1.8)-.3th(5t-42.5),(1.4e^[-(3t-34.5)^2]+1-sgn[|t-8.5|-.5]*1.5*
|sin(pi*t)|^[2e^(-(t-11.5)^2)+.5+e^(-(.6t-3.3)^2)])/(.5+t)+1  ; 0<t<14

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List