Firewall per rete "particolare"

[tonzie]

Volevo porvi un quesito:
io devo realizzare una rete con diversi computer collegati in questo modo:
da un lato i server web (2) devono essere accessibili dall'esterno dall'altro i computer (da 2 a 5) non devono essere raggiungibili, ma solo connettersi ad internet (e sarebbero collegati al firewall da un access point)!

Inizialmente l'idea era di prendere un firewall che permetta di impostare reti differenti a seconda della port di connessione e di conseguenza mettere i server in dmz... poiché al lavoro utilizziamo degli Zyxel Zywall 5 che svolgono questo compito pensavo di utilizzare quella soluzione...

Però per motivi di costo e di qualità del prodotto mi chiedevo se non fosse possibile fare una cosa di questo tipo:
mi prendo un router tipo un 1721 che già di suo ha una fast ethernet...
ci inserisco una WIC-4ESW 4 fast ethernet (mi permette di assegnare 4 reti differenti?) (in caso contrario potrei metterne 2 e mettere i due server nella stessa rete...a questo punto dispongo di 5 reti diverse: una la utilizzo per collegare il router al Router che mi da fastweb per la connessione ad internet, altre due per connettere i server, un'altra per collegarlo all'access point, e me ne resta una libera nel caso dovessi aggiungere un nuovo pc!

Per le regole mi baserei sulle access list...
Secondo voi è fattibile? Al limite al posto del 1721 si potrebbe mettere un router più performante...

Ogni consiglio sarà ben accetto!

P.s. Quasi dimenticavo: non mi dispiacerebbe che implementasse le vpn (che io possa entrare nelle reti tramite una vpn tra un client vpn ed il router stesso, e qui sono ancora più a digiuno di prima)!

P.s.2 Avendo un unico indirizzo pubblico come potrei avere siti e gestire il nat con i due pc: immagino debba utilizzare porte diverse, tipo se su un pc uso la https sull'altro l'http...

Il Nat come lo si può gestire con questi router (sono molto ignorante in materia)!

[mondin.luca]

Io direi che ti serve proprio un bel firewall, io punterei su un PIX o su un ASA (purtroppo con questi ultimi nn ho esperienza diretta)
Direi che è la soluzione migliore, t permettono di separare le zone, fare vpn, assegnare molteplici interfacce e fare tutto quello che hai richiesto.. posizioni il firewall dietro il router e dal router togli tutte le acl, del nat se ne occupa direttamente il pix e quindi scarichi il router dal carico di avere molte acl. Oltretutto il pix ti permette di fare anche routing quindi nn avresti nessun problema di connettività tra le varie reti nel caso futuro tu voglia farle comunicare.

Ciao!

[tonzie]

il pix o l'asa con le caratteristiche che mi occorrono costano decisamente troppo: con uno zywall 5 me la cavo con massimo 350€ per quello pensavo ad una soluzione con un 1721 o router serie 26xx opportunamente riempiti di wic..., ma se non svolgono una delle caratteristiche richieste allora rimango sullo zywall...

[andrewp]

Prova un sonicwall, fanno schifo, ogni tanto li devi riavviare....ma finchè vanno..

[zot]

Monowall!!!! e sei sicuro che non lo devi mai riavviare!!!
Costo: un vecchio PC ........

[hashashin]

evviva il pinguino!!!!

[tonzie]

M0nowall mi è capitato di utilizzarlo, forse sarebbe meglio pfsense, ma posso agevolmente utilizzarlo per queste esigenze: diverse reti distinte con regole diverse (mi pare che si potesse, io avevo messo 3 schede di rete, quella per la wan + 2 per due reti distinte), il Nat di nuovo mi ricordo che si poteva fare, resterebbe l'incognita VPN (questa non l'avevamo mai implementata né con M0nowall né con Pfsense...)?

Inoltre poiché è vitale che i server che stanno dietro siano sempre in rete (e sempre protetti) oltre al fatto che l'unico pc vecchio che ho lo userei come uno dei due server (con una distro linux sopra e vmware a palla) mi chiedevo cosa si potrebbe prendere di macchina che vada sempre, costi poco e consumi pochissimo...(se non sbaglio già l'hard disk non serve perché gira tutto su ram, basta avere il cd rom pronto in caso di riavvii ed il floppy con i files di configurazione... (pensandoci bene forse un athlon 1100 lo riesco a rimediare...)

I sonicwall, invece non li conosco proprio, ma ho visto che vanno a costare parecchio più degli zywall...

[zot]

Per il PC da recuperare...io prima 15 PC con monowall 1.2 li tenevo tranquillamente con un 266/128 Mb ram....calcola che con la 1.3 si disperano perchè l'immagine ha sforato di poco i 10Mb!!!
Per la VPN..no problem : http://www.closeconsultants.com/~peter/ ... pn-rw.html
Per le interfacce di rete....sei limitato semplicemente a quanti slot PCI ha la scheda madre che userai.
Piccolo consiglio : per avere un troughput magiore usa schede di rete con chip Intel.
L'installazione che ti consiglio è su flash con adattatore IDE....poi carica tutto in RAM quindi butti via anche il cd-rom---ha per girare non ha bisogno della sk video...al limite lo gestisci da seriale(ma io non ne ho mai avuto bisogno).
Ho provato Psense ma Monowall rimane una spanna sopra..
Monowall ti offre tanto ma ricorda che NON E' un firewall stateful inspection.

[tonzie]

Capito, flash su adattatore IDE???? Questa non l'ho mai sentita cosa sarebbe? Io sapevo che le memorie flash si potevano collegare alle usb, ma ala cavo IDe mi è nuova, soprattutto non comprendo il beneficio, visto che una volta caricato in ram serve solo per eventuali riavvi...

Per il discorso Stateful Ispection cosa potrebbe comportare che qualche simpatico cracker lo possa bucare senza troppi problemi?

[jbg70]

La cosa fondamentale che e' stata dimenticata e' che 2 (due) server web da pubblicare hanno bisogno di due (2) IP pubblici.

Come soluzione molto economica e un po' discutibile sarebbe sufficiente chiedere a FW un altro IP pubblico (io ne chiederei altri 2).

Quindi assegnare ad un webserver il suo IP pubblico, dotarlo di un firewall, e far uscire gli altri PC della rete tramite nat con il secondo dei due IP pubblici assegnato al router.
Sul router andrebbe reindirizzata la porta 80 del suo ip pubblico sulla porta 80 del secondo webserver che uscira' via NAT.

Saluti.

[tonzie]

Uhm però se uno dei due fosse accessibile da https e l'altro da http dovrebbe bastare un unico ip pubblico (che si prende il firewall datogli da un pat del router) a quel punto a seconda se le richieste sono su http o https vanno a finire sul server opportuno...

Almeno questo è il sistema che ho pensato io per poter risparmiare i costosi ip pubblici e poter avere comunque un servizio efficiente...

[tonzie]

Uhm, il mio istruttore mi ha detto che vede per quanto riesce a farmi avere un router nokia con il checkpoint sopra (con il minimo delle licenze...3 basterebbero)...vedrò un po', ma mi preparo per una bella batosta...

Cmq se qualcuno sa qualcosa per il discorso ip pubblici nattati su porte differenti?

In pratica sul server A ci sarebbe Windows Server 2003 con IIS e DB Oracle
Sul server B una distro Linux con Apache e MySQL (+ un sistema a macchine virtuali per garantire un rapido ripristino dello status precedente ad un eventuale guasto...)!