Masquearting dietro un firewall

[Marco Pasquali]

Salve a tutti
mi volevo imbarcare nell'impresa, forse titanica, di utilizzare l'IP masq di Linux per gestire una rete (ancora da realizzare) in modo da permettere l'accesso ai membri della LAN attraverso l'IP della macchina Linux. Il punto è che questa si trova dietro un firewall e non so se a quel punto questo sistema funziona, comuqnue posso ottenere dall'amministatore del firewall una ritoccata alla sua configurazione per adattarla alle mie esigenze. Il punto è se l'IP masq funziona solo per un IP "nudo" o è concesso anche quello protetto.

Grazie per le eventuali risposte.

[disgrazia]

Nessun problema, anch'io ho un router che fa il NAT cui c'è attaccata una macchina linux che fa il masquerating per altre macchine. A meno che il tuo firewall non abbia particolari restrizioni per quanto riguarda la porta sorgente del traffico in uscita, non penso che ci sia bisogno di ritoccare la configurazione del firewall.

[zendune]

Scusa ma non ho capito: il firewall si trova tra la tua nuova rete ed il nuovo router o si trova dopo il router:
new net -> router -> firewall oppure
new net -> firewall -> router ?
La prima configurazione è semplice da adottare e non ha bisogno di alcun ritocco nella politica del firewall; la seconda configurazione non riesco a capirne il motivo
bye.

[Marco Pasquali]

Si tratta di

new net -> router -> firewall

Il mio interrogativo nasceva dal fatto che l'amministratore del firewall non ha abilitato tutte le porte e mi chiedevo se questo potesse incidere sul corretto funzionamento della IPMASQ.

Dato che ci sono: ma totto IPMASQ è possibile continuare ad usare P2P come eMule (tanto anche adesso mi ha IDbasso visto che il firewall non gli permette l'accesso esterno alle porte che lui vuole) ? Mi sembra di aver letto infatti che non supporta tutti i protocolli (tipo realaudio).

Inoltre: in termini di prestazioni c'è molta differenza tra vere IP forniti dal provider e quelli dell'IP MASQ ?

Grazie 1000

[zendune]

L'IP Masquering non c'entra con il firewall. Il router ha il compito di convertire gli ip provenienti dalla sotto rete con il proprio ip "mascherando" quindi la sotto rete. Al firewall sarà noto solo l'ip del router: quindi se il router è abilitato ad attraversare il firewall non c'è nessun problema.
Per quanto attiene alle porte, questo dipende dalla politica del firewall. Tieni presente che, di norma, ciò che non passa da un computer della rete non passerà neppure con il router, tranne che l'amministratore abiliti il router ad operazioni particolari.
Il semplice mascheramento degli ip tramite router, non dà problemi di sorta con le porte; tutto questo dipende dal firewall. Il problema solitamente si risolve ponendo il client in modalità passiva.
In una rete il provider assegna l'ip al solo gateway (che di solito fa da firewall e router) e non ad ogni computer della rete (avremmo finito gli indirizzamenti ip in qualche ora). Quindi non vi sono dei cali apprezzabili dovuti al mascheramento.

[pjfry]

qual'è la differenza tra masquerating e nat? non riesco a vederla

[zendune]

in pratica sono la stessa cosa: il NAT (Network Address Translation) permette di sostituire l'IP della sotto rete con l'IP del router effettuando una traslazione degli IP e "mascherando" di conseguenza la sottorete.

[Marco Pasquali]

ho letto in un tutorial (un po' vecchiotto a dire il vero) che l'IPMASQ è buono se si vuole condividere una connessione in dialout, ma non è il max per una connesione tra una LAN e un collegamento ADSL perchè l'overhead introdotto dal maschermaento degli IP è tale da uccidere le prestazioni. E' attendibile questa visione pessimistica del server pinguinato ?

Secondo me no, l'IPMASQ è più che sufficiente per una linea ADSL: la banda in gioco è pur sempre poca (per esempio se confrontata con una fast ethernet a 100 Mbps); inoltre l'IPMASQ non introduce nessun overhead, l'unica cosa che introduce è un ritardo, comunque quantificabile penso in pochi millisecondi.

Il mio scopo era condividere una linea ADSL (a dire il vero già non troppo veloce) con altri 4 PC collegati tramite una retina ethernet 10/100. Il verver su cui far girare il pinguino (Slackware) è un pentium 1 a 100Mhz (troppo dinosauro ?).

Avevo letto in internet di qualcuno che aveva fatto le stesse cose con un 486, per cui per il tuo pentium I non vedo problemi! Ovviamente è il caso di installare un sistema ridotto all'osso, se cominci ad aggiungerci chessò un x-server, un web server, un server samba e qualcos'altro.... beh in tal caso il processore penso che non ce la faccia. Ma se installi solo il sistema base con iptables puoi stare tranquillo.

Volevo anche riflettere sulle performance nel caso di una rete + grande (tipo una rete eth con 20 host). Come posso valuare tutto questo ?

Non sono a conoscenza di dati precisi in merito, ma così ad occhio direi che non ci sono problemi. C'è la connessione ADSL che fa da collo di bottiglia e limita la banda disponibile, per cui penso che il gateway si troverebbe di fatto a lavorare sempre con un traffico di entità gestibile.