rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:net:source_routing

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:net:source_routing [2017/03/17 17:10] – [Source routing con iproute2] niccolodoc:appunti:net:source_routing [2021/10/13 18:03] (current) – [Firewall dual homed e source routing con Shorewall] niccolo
Line 145: Line 145:
 ====== Firewall dual homed e source routing con Shorewall ====== ====== Firewall dual homed e source routing con Shorewall ======
  
-**Esempio**: collegamento a internet con due interfacce, **eth0** ADSL e **eth2** (94.94.64.138, HDSL). La rotta predefinita è su eth0, parte del traffico viene dirottato su eth2 tramite regole di ''iptables''. La **LAN** 10.22.20.0/24 è collegata su **eth1**.+**Esempio**: collegamento a internet con due interfacce, **eth0** (217.58.174.226, ADSLe **eth2** (94.94.64.138, HDSL). La rotta predefinita è su eth0, parte del traffico viene dirottato su eth2 tramite regole di ''iptables''. La **LAN** 10.22.20.0/24 è collegata su **eth1**.
  
 Queste le accortezze da utilizzare: Queste le accortezze da utilizzare:
  
   * In **''/etc/shorewall/interfaces''** si indicano le due interfacce collegate alla zona **net**.   * In **''/etc/shorewall/interfaces''** si indicano le due interfacce collegate alla zona **net**.
-  * In **''/etc/shorewall/shorewall.conf''** si imposta **''ROUTE_FILTER=No''**, altrimenti il traffico in uscita dalla eth2 viene filtrato come //martian source//. +  * In **''/etc/shorewall/shorewall.conf''** si imposta **ROUTE_FILTER=No**, altrimenti il traffico in uscita dalla eth2 viene filtrato come //martian source//. 
-  * Per lo stesso motivo di cui sopra **non** si deve mettere l'opzione **''routefilter''** in **''/etc/shorewall/interfaces''**.+  * In **''/etc/shorewall/interfaces''** **NON** ci deve essere l'opzione **routefilter=1** (misura anti-spoofing), per lo stesso motivo di cui sopra**ATTENZIONE**: Se in ''shorewall.conf'' c'è l'opzione ''ROUTE_FILTER=Yes'', impostare qui ''routefilter=0'' non è sufficiente. 
 +  In **''/etc/shorewall/interfaces''** l'opzione **sourceroute=[0|1]** (non accetta/accetta pacchetti source routed dall'interfaccia) è importante? FIXME
  
 **''/etc/iproute2/rt_tables''** **''/etc/iproute2/rt_tables''**
Line 180: Line 181:
 </file> </file>
  
-**''/etc/shorewall/masq''**+**''/etc/shorewall/snat''** (per il nuovo Shorewall v.5) 
 + 
 +<file> 
 +SNAT(217.58.174.226)    192.168.1.0/24   eth0    # LAN to internet via HDSL 
 +SNAT(94.94.64.138)      192.168.1.0/24   eth2    # LAN to internet via ADSL 
 +</file> 
 + 
 +**''/etc/shorewall/masq''** (per il vecchio Shorewall v.4)
  
 <file> <file>
Line 186: Line 194:
 eth2    10.22.20.0/24       # LAN to internet via ADSL eth2    10.22.20.0/24       # LAN to internet via ADSL
 </file> </file>
- 
  
 **''/etc/shorewall/start''** **''/etc/shorewall/start''**
doc/appunti/net/source_routing.1489767028.txt.gz · Last modified: 2017/03/17 17:10 by niccolo