[X-Post] Debian Bookworm con eth0 in lan ed eth1 in dmz

Discussione:

(troppo vecchio per rispondere)

^Bart

2022-09-03 12:34:19 UTC

Salve,

ho un server, come da oggetto, con due schede di rete fisiche, la eth0
vorrei connetterla alla lan quindi dietro al firewall Pfsense mentre la
eth1 vorrei metterla in DMZ.

Sulla macchina ho installato lxc ed all'interno ho dei container come ad
esempio uno con zabbix, un altro con samba ed un altro che mi fa da
server lamp tutti e tre forniscono i loro servizi in lan.

Sulla stessa macchina vorrei inserire un container con OpenVPN server
che stando agli standard o alle best practise dovrebbe stare in DMZ.

Oggettivamente potrei dare al server OpenVPN un ip della DMZ e
configurare all'occorrenza Pfsense senza utilizzare la rete fisica che
mi permetterebbe però di non ri-mettere mano al firewall...

Ogni altra visione o idea è ben accetta! :)

Saluti.
^Bart

rootkit

2022-09-03 14:01:51 UTC

Permalink

Post by ^Bart
Sulla stessa macchina vorrei inserire un container con OpenVPN server
che stando agli standard o alle best practise dovrebbe stare in DMZ.
Oggettivamente potrei dare al server OpenVPN un ip della DMZ e
configurare all'occorrenza Pfsense senza utilizzare la rete fisica che
mi permetterebbe però di non ri-mettere mano al firewall...

non ho capito come vuoi fare. se vuoi mettere il container in dmz, devi
agganciarlo all'interfaccia host in dmz. a quel punto gli indirizzi che
openvpn stacca per i client dovranno essere autorizzati nel firewall ad
entrare nella lan, altrimenti sono segregati anche loro in dmz (e mi
immagino non sia quello che vuoi ottenere).

ma perché non configurare il modulo openvpn di pfsense?

^Bart

2022-09-03 14:38:20 UTC

Permalink

Ti ringrazio intanto per la risposta.

Post by rootkit
non ho capito come vuoi fare. se vuoi mettere il container in dmz, devi

Quello che vorrei, prima del caso specifico, è avere un solo server che
contenga "X" container da poter usare sia in lan che in DMZ quindi
questo è il primo "step tecnico" che vorrei risolvere!

Come già accennato così facendo potrei connettere una interfaccia fisica
allo switch che ho in dmz ed una interfaccia fisica allo switch lan e
bridgiare l'una verso i container della lan e l'altra vero i container
della dmz.

Probabilmente si potrebbe fare tutto questo anche con una sola
interfaccia fisica di rete ma dovrei poi metter mano a Pfsense.

Post by rootkit
agganciarlo all'interfaccia host in dmz. a quel punto gli indirizzi che
openvpn stacca per i client dovranno essere autorizzati nel firewall ad
entrare nella lan, altrimenti sono segregati anche loro in dmz (e mi
immagino non sia quello che vuoi ottenere).
ma perché non configurare il modulo openvpn di pfsense?

Attualmente quello che hai indicato succede già perché Pfsense fa tutto
questo e, come già accennavo nel mio precedente post, ed il server
OpenVPN ha un indirizzo della dmz pratica che dovrebbe rientrare tra le
best practise giusto?

Mi piacerebbe poter svincolare di lavoro il firewall togliendogli il
DHCP server e la gestione della VPN.

Indipendentemente però da quello che mi piacerebbe fare, che non è detto
sia qualcosa di corretto probabilmente, a me interessava quanto scritto
sopra ovvero un unico server con "X" containers ognuno con servizi da
erogare in lan ed in dmz.

Imho sembra uno spreco di risorse tenere un server in dmz ed uno in lan
quando a livello di prestazioni hardware uno singolo potrebbe reggere
tutto il carico.

Saluti.
^Bart

rootkit

2022-09-03 17:07:12 UTC

Permalink

Post by ^Bart
Attualmente quello che hai indicato succede già perché Pfsense fa tutto
questo e, come già accennavo nel mio precedente post, ed il server
OpenVPN ha un indirizzo della dmz pratica che dovrebbe rientrare tra le
best practise giusto?

si, ma ripeto, se il container è nella dmz anche i client che si collegano
sono segregati nella dmz. non raggiungi la lan via vpn perché, ovviamente,
dalla dmz non è possibile farlo. come lo risolvi?

ti stavo spiegando che una soluzione è far staccare degli indirizzi
specifici a openvpn per i client e configurare nel firewall nat, routing e
filtering per questi indirizzi dall'interfaccia dmz a quella lan.

Post by ^Bart
Mi piacerebbe poter svincolare di lavoro il firewall togliendogli il
DHCP server e la gestione della VPN.

non ne vedo il motivo, pfsense quel mestiere lo fa più che bene. mentre se
lo porti fuori ti metti all'anima tutta una serie di problemi di
sicurezza. perché bene o male devi configurare te un "passaggio" dalla dmz
alla lan.

Post by ^Bart
Indipendentemente però da quello che mi piacerebbe fare, che non è detto
sia qualcosa di corretto probabilmente, a me interessava quanto scritto
sopra ovvero un unico server con "X" containers ognuno con servizi da
erogare in lan ed in dmz.
Imho sembra uno spreco di risorse tenere un server in dmz ed uno in lan
quando a livello di prestazioni hardware uno singolo potrebbe reggere
tutto il carico.

va bene, un host di vrtualizzazione è normale abbia un piede nella lan e
uno nella dmz in modo che i guest possano essere sia nella lan che nella
dmz a seconda dell'interfaccia a cui li colleghi. però attenzione: il
fatto che abbia un interfaccia sulla dmz non deve significare che abbia
anche un indirizzo.

^Bart

2022-09-04 07:22:47 UTC

Permalink

Post by rootkit
si, ma ripeto, se il container è nella dmz anche i client che si collegano
sono segregati nella dmz. non raggiungi la lan via vpn perché, ovviamente,
dalla dmz non è possibile farlo. come lo risolvi?

L'attuale VPN, come già accennato gestita da Pfsense, assegna ai vari
client indirizzi nella DMZ e poi il firewall reinstrada verso la lan.

Post by rootkit
ti stavo spiegando che una soluzione è far staccare degli indirizzi
specifici a openvpn per i client e configurare nel firewall nat, routing e
filtering per questi indirizzi dall'interfaccia dmz a quella lan.

Quindi come già accade ora il tutto però gestito da Pfsense.

Post by rootkit
non ne vedo il motivo, pfsense quel mestiere lo fa più che bene. mentre se
lo porti fuori ti metti all'anima tutta una serie di problemi di
sicurezza. perché bene o male devi configurare te un "passaggio" dalla dmz
alla lan.

Concordo però converrai con me che una macchina dedicata è sempre meglio
di una che fa tutto, imho al firewall vorrei lasciar fare solo il
firewall e se magari, come dovrei fare ora, dovessi aggiornare l'ssl per
la vpn agirei solo sul server vpn senza andare a toccare Pfsense.

Ovvio che Pfsense è bello stabile di suo non è che si pianta se dovessi
eseguire un aggiornamento però boh... non concentrare tutto su una
macchina e dividere i servizi ivi compreso il dhcp credo si possi
annoverare tra le best practise...

Post by rootkit
va bene, un host di vrtualizzazione è normale abbia un piede nella lan e
uno nella dmz in modo che i guest possano essere sia nella lan che nella
dmz a seconda dell'interfaccia a cui li colleghi. però attenzione: il
fatto che abbia un interfaccia sulla dmz non deve significare che abbia
anche un indirizzo.

Non deve significare che abbia anche un indirizzo perché poi ti
gestiresti tutto con le tabelle di routing?

Ipotizziamo il discorso del server VPN, se in DMZ ho 172.x.x.x ed in lan
ho 192.168.0.x, al vpn server collegato allo switch in dmz potrei anche
dare 192.168.0.100 con una netmask che arrivi fino a 172.x.x.x per poi
sistemare le tabelle di routing...

Saluti.
^Bart

rootkit

2022-09-04 10:31:51 UTC

Permalink

Post by ^Bart
Ipotizziamo il discorso del server VPN, se in DMZ ho 172.x.x.x ed in lan
ho 192.168.0.x, al vpn server collegato allo switch in dmz potrei anche
dare 192.168.0.100 con una netmask che arrivi fino a 172.x.x.x per poi
sistemare le tabelle di routing...

qui mi fermo perché credo ti debba studiare almeno le basi prima di
discutere su come mettere le mani su una rete.
anzi ti sconsiglio di continuare su questa cosa casomai ti fosse venuto in
mente di realizzarla senza prima aver colmato queste lacune che, credimi,
sono parecchio grosse.

^Bart

2022-09-04 19:45:12 UTC

Permalink

Post by rootkit
qui mi fermo perché credo ti debba studiare almeno le basi prima di
discutere su come mettere le mani su una rete.
anzi ti sconsiglio di continuare su questa cosa casomai ti fosse venuto in
mente di realizzarla senza prima aver colmato queste lacune che, credimi,
sono parecchio grosse.

Lo stavo scrivendo, sono classi diverse.

Saluti.
^Bart

rootkit

2022-09-04 21:24:36 UTC

Permalink

Post by ^Bart

Post by rootkit
qui mi fermo perché credo ti debba studiare almeno le basi prima di
discutere su come mettere le mani su una rete.
anzi ti sconsiglio di continuare su questa cosa casomai ti fosse venuto
in mente di realizzarla senza prima aver colmato queste lacune che,
credimi, sono parecchio grosse.

Lo stavo scrivendo, sono classi diverse.

abbi pazienza, non è questo il punto. hai scritto una grossa sciocchezza,
dimostrando di non conoscere il principio base della segregazione di rete
di una dmz. ovviamente non si tratta solo di due classi di indirizzi
diverse, ma c'è un firewall nel mezzo che impedisce proprio il traffico
fra la dmz e la lan (talvolta, ma non necessariamente, anche viceversa). è
ovvio che la tua ipotesi non può funzionare.

poi torno a ribadire, la vpn lascia quella di pfsense, ti dico che nella
migliore delle ipotesi ti complichi solo la vita.