rete lan ristretta?

[scaccoamestesso]

Salve a tutti, sono nuovo del fol e sono entrato a far parte del difficilissimo (per me), ma molto affascinante mondo linux per esigenze di lavoro, disgustato dalle inefficienze di sicurezza di windows (qualsiasi versione).
Ho l' ultima release di Debian Lenny, che mi hanno detto essere una delle distro più sicure e testate, anche se un po' più difficilina di molte altre.
Il problema è questo, ho praticamente impostato con molta fatica (ma soddisfazione) tutto quello che mi  serve per lavoro, ma ora sono allo scoglio più grande per me: creare una rete lan tra due pc che hanno la stessa distro, appunto debian lenny.
Per esigenze lavorative la configurazione della rete dovrebbe avere le seguenti caratteristiche:
pc "torre" (Debian Lenny) con due schede di rete (le ho già), una collegata al router per internet, una collegata con un cavo cross all' altro pc "figlio". Per motivi che non sto a dire, preferisco collegare i due pc direttamente, senza passare dal router e l' hub non serve ovviamente.
Soltanto il pc "torre" dovrebbe collegarsi ad internet, il pc "figlio" no, mai, quindi dovrebbe essere in lan con il pc "torre", ma non dovrebbe nè condividerne la connessione all' esterno ad internet, nè alcuna cartella, nè altro, ma solo quello che mi è necessario che ora spiego. L' unica porta aperta nel pc "figlio", deve essere quella che serve ad un' applicativo di mia creazione, che dovrà comunicare con un altro applicativo commerciale che invece risiederà nel pc "torre" (è un applicazione java quest' ultima).
Quindi che vorrei fare è chiudere tutte le porte in entrata e in uscita nel pc "figlio" attraverso il firewall (per semplicità utilizzerei Firestarter, tanto le regole che devo mettere non sono complesse, anzi è una molto semplice), tranne quella che serve per far comunicare il mio applicativo con quello commerciale che risiede nel pc "torre" (comunicazione sia in entrata che in uscita tra i due). E il pc "torre" avrebbe anch' esso tutte le porte chiuse, tranne quella che serve al browser per comunicare con internet e quella che serve all' applicativo java commerciale, per comunicare con il mio applicativo personale caricato nel pc "figlio".
Quindi per fare ciò, credo che serva una rete lan tra i due pc ovviamente, ma estremamente limitata (solo due applicativi che comunicano attraverso la stessa porta), ove non vi sia altro scambio, se non questo specificato.
Sarei gratissimo se qualcuno potesse dirmi passo passo, considerando che sono un neofita quasi completo, la procedura esatta per configurare una rete lan del genere, e tra le tante cose, vorrei sapere se è sufficiente tenere aperta la sola porta necessaria alla comunicazione tra i due applicativi che utilizzo per lavoro, o se sia necessario tenerne aperta anche un' altra (o altre) per far sì che ciò avvenga, che ne so, porte che potrebbero essere funzionali allo scopo, quindi al corretto funzionamento della rete lan, ecc (insomma non lo so, scusate :-))... (mi riscuso a ruota per la mia ignoranza, ma sapere questo mi serve perché così potrò creare la lan tra i due pc, avendo già attivato in precedenza in tutti e due i pc, Firestarter in modalità "tutte porte chiuse", così che configurerei la rete su ogni pc e poi soltanto successivamente andrei ad aprire con Firestarter esclusivamente quella, o quelle porte strettamente necessarie per far sì che i due applicativi comunichino).
Quindi in definitiva:
pc "torre" può comunicare solo attraverso browser (e la porta necessaria per farlo andare) verso internet, e l' applicativo java commerciale che vi risiede, comunicherà  attraverso lan solo verso l' applicativo di mia creazione caricato invece nel pc "figlio". Di conseguenza il pc "figlio", potrà comunicare solo e soltanto con l' applicativo commerciale caricato nel pc "torre".

Grazie a tutti, spero di essermi spiegato bene, altrimenti cerco di chiarire meglio, e scusate di nuovo per la mia inesperienza.
Ciao.

[Argos]

ciao scaccoamestesso

ammazza!!!  , a parte gli scherzi , è molto interessante, ma devo confessare che la spiegazione non mi è 100% chiara, ma avrò tempo di rileggere.

La prima cosa che salta alla vista è il collegamento col cavo RJ45 e le due schede, dal punto di vista fisico sembra non ci siano problemi. Poi, la configurazione della connessione, tra i due pc "torre" e "figlio" credo dipenda da l'applicazione che hai creato, cioè, da come potrebbe essere conveniente che venga visto il pc figlio, da quel po che riesco ancora a capire (e questa volta sono io a chiederti scuse ), sarebbe come una sorta di NAS o server non collegato al web?  . dico questo per scoprire quale protocollo ti converrebbe di più.

Io sto ancora iniziando a capire e a conoscere nel poco tempo che ho purtroppo a disposizione e grazie al forum, come funzionano le reti LAN, e gli applicativi per gestire al meglio il flusso dei dati. Dato che usi Debian, credo che man mano potrebbero servire degli aggiornamenti e dei pacchetti da installare. Alcuni "attrezzi" che vedo vengono molto spesso usati nelle reti lan sono:

http://www.samba.org/
http://it.wikipedia.org/wiki/File_Transfer_Protocol
http://filezilla-project.org/
http://it.wikipedia.org/wiki/Network_File_System

E ovviamente il protocollo TCP/IP:
http://it.kioskea.net/contents/internet/tcpip.php3

Un mondo da esplorare , quando collegerai i due pc da il comando:

sudo ifconfig

e

sudo route

da un terminale e postaci l'output

A dopo

[scaccoamestesso]

Inanzi tutto devo ringraziarti per la disponibilità nel leggere tutto quel papocchio , ma credo che a volte si debba cercare di dire tutto da subito, per capirsi meglio, soprattutto quando uno degli interlocutori è alle prime armi come me, quindi grazie davvero per la tua pazienza

Vorrebbe proprio essere nelle intenzioni, una sorta di server non collegato al web. Nas non propriamente (ma forse sarebbe fattibile fare il tutto anche attraverso questa formula, ma non credo sia necessaria), perché il server non deve necessariamente immagazzinare dati e centralizzarli... Quindi direi semplicemente come hai detto tu, una specie di "server" non collegato al web e che comunica con il pc proxy, soltanto per lo scambio di dati tra i due applicativi.

I due applicativi risiedenti sulle due macchine diverse, comunicano tra loro sia in entrata che in uscita, attraverso due porte, una tcp e una http, e vorrei che soltanto queste due porte restassero aperte sul pc figlio (tutto il resto vorrei rimanesse blindato dal suo firewall), e per quanto riguarda il pc torre invece, vorrei che avesse le stesse due porte aperte, appunto per comunicare con il mio applicativo, e un' altra per comunicare nel web, e anche qui, tutto il resto delle porte bloccate dal suo firewall.

Purtroppo per ragioni di tempo, il lavoro verrà fatto fisicamente credo la prossima settimana (al momento sono fuori, devo ritornare agli uffici, e quindi sto pianificando sulla carta la procedura necessaria), per questo non posso fare ora la prova dei comandi che mi hai dato, mi dispiace... Visto che per me sarà complicato, dato che utilizzo linux e saltuariamente da sole due settimane, sto cercando di capire subito almeno in teoria la procedura che poi dovrò fare al momento della creazione di questa tipologia di rete lan e se mi dai una mano, mi permetterai di mettere subito a lavoro il mio software :-) (purtroppo per ragioni di scadenze, il tempo è molto molto poco...).

Mille grazie ancora quindi, spero di non stare abusando troppo della tua disponibilità!

[michele.p]

...in sostanza "torre" deve fare da gateway per "figlio", quindi, al di là dell'Hag (http://www.dizionarioinformatico.com/cgi-lib/diz.cgi?frame&key=hag), praticamente una cosa di questo tipo;

http://community.fastempire.net/uploads/langateway.png

solo senza switch e un solo PC, anzi due "torre" e "figlio".

Bye 

[Argos]

Ciao michele.p , scaccoamestesso

Ok, adesso mi è più chiaro anche a me , a questo punto, cosa converrebbe di più a fare?    :

1_ una volta collegati a livello di rete, "torre" e "figlio", fargli comunicare tramite FTP a livello di applicazione?

oppure:

2_ una volta collegati a livello di rete, "torre" e "figlio", fargli comunicare cosi:



...sempre che su debian, ci sia la possibilità tramite un tool simile. 

A dopo

[scaccoamestesso]

#michele.p: Grazie mille, per rendere gateway il pc torre, cercando e ricercando, avrei trovato una prcedura del genere (per Debian), sul pc torre, dove vi sono installate due schede di rete, modificare il file /etc/network/interfaces in modo tale che presenti queste impostazioni -->

 # The loopback network interface:
 auto lo
 iface lo inet loopback
 
 # To exernal world:
 auto eth0
 iface eth0 inet dhcp
 
 # To internal LAN:
 auto eth1
 iface eth1 inet static
 address ip da dare al pc torre (getway per pc figlio)
 netmask xxx.xxx.xxx.x
 network xxx.xxx.xxx.x
 broadcast xxx.xxx.xxx.xxx

Nel pc figlio invece, lo stesso file da salvare con le seguenti impostazioni -->

 # The loopback network interface:
 auto lo
 iface lo inet loopback
 
 # To internal LAN:
 auto eth1
 iface eth1 inet static
 address ip del pc figlio
 netmask xxx.xxx.xxx.x
 network xxx.xxx.xxx.x
 broadcast xxx.xxx.xxx.xxx
 gateway ip del pc torre (suo getway)

A) non so se è una procedura corretta
B) come faccio a vedere se la lan va? Salvo riavvio, e provo a fare ping o ssh? Come si fa un ping e un' ssh in Debian?
C) Se tutto funzionasse a questo punto, potrei configurare il firewall nella seguente maniera: apro su entrambe le macchine Firestarter, do il comando blocca tutte le porte (su entrambe le macchine), poi apro le due porte necessarie al funzionamento degli applicativi tra le due macchine, che ricordo una è tcp, una http... A questo punto funziona la lan, oppure bloccando tutte le altre porte e lasciando aperte solo quelle per gli applicativi, i due pc non comunicano perché la rete lan è bloccata dal firewall? Se fosse così, quale altra/altre porte dovrei aprire da Firestarter? E visto che Firestarter chiede il nome dell' applicazione che avrà accesso alla porta da aprire, in questo caso che applicazione specifico a Firestarter, un' indirizzo ip?

Grazie!

#Argos: Ciao Argos, grazie. Non ho capito cosa c' entra l' ftp mi dispiace, scusa ma so proprio ignorante di ste cose :-) A me servono aperte tra la lan soltanto due porte, una tcp, una http, e in caso qualche altra porta necessaria al corretto funzionamento della lan (è questo che non capisco, come settare il firewall: se chiudo tutto e lascio aperte solo le due porte tcp e http, la lan va lo stesso, o devo aprire inoltre anche qualche altra porta specifica? Purtroppo non ho ben chiara l' architettura precisa di una lan e non mi so rispondere da solo, mi dispiace :-))

Ciao grazie!

[Argos]

ciao ragazzi

A) non so se è una procedura corretta

...a me sembra corretta  , ma sul pc figlio (che non vuoi collegare ad internet) basta NON impostare il DNS offerto dal tuo provider o non impostare nessun DNS.

B) come faccio a vedere se la lan va? Salvo riavvio, e provo a fare ping o ssh? Come si fa un ping e un' ssh in Debian

...per non riavviare il pc ogni volta che fai dei cambiamenti nelle connessioni, basta dare da terminale:

/etc/init.d/network restart    o     /etc/init.d/networking restart

...non ricordo quale delle due è su debian e quale su ubuntu , per pingare dai:

ping xxx.xxx.xxx.xxx oppure ping www.google.it   , etc

...per il ssh non lo so, penso che si faccia dal browser o dal file manager? , SSH, HTTP, FTP, sono sistemi di trasmissione sul WEB o LAN, a livello di applicazione , invece TCP è un protocollo per il trasporto di dati in pacchetti a traverso la rete a livello di trasporto

C) Se tutto funzionasse a questo punto, potrei configurare il firewall nella seguente maniera: apro su entrambe le macchine Firestarter, do il comando blocca tutte le porte (su entrambe le macchine), poi apro le due porte necessarie al funzionamento degli applicativi tra le due macchine, che ricordo una è tcp, una http... A questo punto funziona la lan, oppure bloccando tutte le altre porte e lasciando aperte solo quelle per gli applicativi, i due pc non comunicano perché la rete lan è bloccata dal firewall? Se fosse così, quale altra/altre porte dovrei aprire da Firestarter? E visto che Firestarter chiede il nome dell' applicazione che avrà accesso alla porta da aprire, in questo caso che applicazione specifico a Firestarter, un' indirizzo ip?

...non uso firewall perché purtroppo, ancora non ho la mia piccola e sognatissima LAN , ma penso che il firewall funziona come un posto di blocco appunto , firewall: "documenti per favore!", data: si, sono HTTP e il mio amico TCP!
tutto il resto verrebbe fermato, in più al pc figlio NON l'imposti i DNS credo che tu sia a posto , (credo)

#Argos: Ciao Argos, grazie. Non ho capito cosa c' entra l' ftp mi dispiace, scusa ma so proprio ignorante di ste cose :-) A me servono aperte tra la lan soltanto due porte, una tcp, una http, e in caso qualche altra porta necessaria al corretto funzionamento della lan (è questo che non capisco, come settare il firewall: se chiudo tutto e lascio aperte solo le due porte tcp e http, la lan va lo stesso, o devo aprire inoltre anche qualche altra porta specifica? Purtroppo non ho ben chiara l' architettura precisa di una lan e non mi so rispondere da solo, mi dispiace :-))

...tutto descritto sopra , ovviamente e per ragioni d'ignoranza condivisa tra me e te , aspettiamo michele.p

A dopo

[michele.p]

...una possibile soluzione, "torre" deve avere due schede di rete e per "figlio" ne è sufficiente una; "torre" può, ad esempio, lasciar passare tutto il traffico che poi puoi filtrare tramite firewall nel PC "figlio" oppure il filtro lo inserisci a monte ad esempio attivi il blocco sul pc "torre" sulla seconda scheda quella che va verso "figlio" oppure, se hai un router con firewall, puoi utilizzare il firewall del router per bloccare il traffico verso "torre" (almeno in parte) e quindi verso "figlio" utilizzando il firewall di "figlio" ...insomma un bel macello di scelte...  ....alcuni esempi;

http://www.td.rutgers.edu/documentation/Reference/Firewalls_on_RUNet/images/lanfw-current.jpg

http://www.creativecomputers.us/images/lan.gif

http://www.kernel-panic.it/openbsd/carp/net.png

etc etc etc 

Nel tuo caso vuoi solo due PC mi sembra di capire.

Bye 

[scaccoamestesso]

Non ho avuto tempo di rispondere subito... Molte grazie ad entrambi, credo di aver capito come fare. Quando sarà il momento, vedrò se è realmente così, in caso contrario, ritornerò a rompervi per capire meglio

Grazie di nuovo, ciao!

[michele.p]

....attendiamo la "vittoria" sui due PC..... 

Bye