Come configurare una DMZ



DMZ = DeMilitarized Zone – zona tra due firewall che separa una rete insicura da una rete sicura.
La gestione di una rete aziendale prevede oltre alla parte di rete locale LAN anche la parte di connessione ad internet detta WAN.
Avere un accesso a internet verso l’esterno può portare a gravi problemi di sicurezza, soprattutto se si ha necessità di far vedere delle macchine contenute in LAN verso l’esterno.

Per ovviare a questo problema nasce la DMZ.
Nella DMZ vengono inserite tutte quelle macchine che hanno necessità di essere visto dall’esterno (da internet).

In questo caso vedremo come configurare una rete aziendale di medie dimensione che ha la necessità di gestire internamente un server Linux con le seguenti funzionalità:

  • Server WEB
  • Server MAIL
  • Server FTP
  • Server MySQL

Configurazione della rete interna LAN
La rete interna LAN sarà composta da diversi client con sottorete: 192.9.200.0/24 (il 24 sta ad indicare una subnet mask del tipo 255.255.255.0).

Configurazione della rete esterna WAN
La rete esterna in questo caso ci da a diposizione un set di 8 indirizzi:

da 217.56.123.1 a 217.56.123.8

Configurazione della rete DMZDMZ
La rete DMZ sarà configurata come una rete interna ma con una subnet differente rispetto a quella della LAN. Utilizzeremo la sottorete: 192.168.69.0/24
Piu precisamente il nostro server Linux avrà indirizzo 192.168.69.1
Configurazione del Firewall
Una volta assegnata ai 3 rami le loro configurazioni dobbiamo impostare sul firewall le regole per l’accesso ad internet.

Per prima cosa dovremo sfruttare il NAT (Acronimo di Network Address Translation.Funzione che converte gli indirizzi IP interni di una LAN in un indirizzo unico IP da usare per il traffico esterno) per poter decidere che indirizzo ip usare per i vari ambiti.

Utilizzeremo 217.56.123.2 per permettere ai client di andare in internet.
Il nostro server Linux invece risponderà all’indirizzo ip: 217.56.123.3

Per fare ciò dobbiamo configurare la connessione WAN in Full Feature nel campo NAT

Successivamente dovremo impostare il campo Address Mapping nella sezione SUA/NAT per poter specificare con quale ip pubblico i client e il server dovranno uscire verso internet.

Per far andare in internet i client utilizzeremo l’ip pubblico 217.56.123.1, di conseguenza avremo una mappatura “Molti ad Uno”.

Many-to-One

Local start ip: 192.9.200.0
Local End ip: 192.9.200.254
Global End ip: 217.56.123.2

Per far andare in internet il server e per accederci dall’esterno useremo l’ip 217.56.123.2.

One-to-One

Local start ip 192.168.69.1
Local End ip: 217.56.123.3

Ora non ci resta che configurare le regole per il firewall in cui dovremo bloccare tutte le chiamate che provengono dalla WAN verso la LAN e tutte le chiamate dalla DMZ verso la LAN.

Per installare il server linux è stato seguito il seguente articolo:
http://www.howtoforge.com/perfect_setup_mandriva_2006

Come pannello di controllo via web si è usati ISPConfig:
http://www.ispconfig.com

Annunci sponsorizzati:

Ricerche effettuate:

  • come impostare il computer come una dmz
  • indirizzo dmz
  • server dmz
Condividi su Facebook Condividi su Twitter!
  • francino10

    Bellissimo il tuo articolo oltretutto molto utile!!
    BRAVISSIMO TUONO!

  • rey

    articolo Utile e chiaro
    sarebbe interessante continuarlo
    indicando come accedonio i clienti della rete
    192.9.200.x
    alle eventuali cartelle sul server nella rete
    192.168.169.x

  • Beh, le raggiungono come se fossero in rete locale ;)

    Dalla LAN alla DMZ il traffico è aperto.

    Dalla DMZ alla LAN invece no

Pinterest