[Ninux-Calabria] ninux gateway tips

[Vincenzo Pirrone]

Ciao
Avvio questo thread per discutere assieme di un argomento non banale,
ovvero come configurare al meglio i gateway nella propria lan.

Parto dalla definizione:
Un gateway è un dispositivo interno alla lan e ha lo scopo di veicolare
pacchetti IP verso reti esterne.

Su ninux abbiamo essenzialmente 3 tipi di gateway:
1 - gateway verso il resto della rete ninux
2 - gateway verso altre isole ninux
3 - gateway verso internet

Siccome la configurazione migliore è spesso la più semplice, il modo
migliore per gestire i gateway è IMHO includerli in un unico
dispositivo, che sarà il default gateway della lan.

Nel caso di un nodo foglia il default gateway in questione sarà l'unico
dispositivo con olsr, sia esso un tp-link a terra o un'antenna ubiquiti.
Nel caso di un supernodo con router a terra il default gateway sarà
proprio il GR.
Nel caso di supernodo con routing classico conviene scegliere un'antenna
come master (l'unica su cui è necessario inserire la entry in Hna4), le
altre saranno raggiungibili da questa. Niente vieta comunque di
aggiungere un tp-link a terra in modo da avere una sorta di routing ibrido.

Passo alla configurazione della rete interna, anche qui è necessario
distinguare vari casi in base ai dispositivi già presenti in casa

1 - Router/AP (no ADSL)

Impostiamo come IP un indirizzo della subnet ninux scelta (10.x.y.z),
disabilitiamo il dhcp e abilitiamolo nel gateway ninux e il gioco è fatto.
Può essere sostituito direttamente dal GR in caso di routing a terra.

2 - Router/AP con modem incorporato

Come sopra, ma nel gateway ninux bisogna impostare come default gateway
il router di casa.

3 - Router/AP con modem seperato

Come sopra, ma nel caso di routing a terra possiamo collegare
direttamente il GR al modem.

Altre considerazioni:
Ho notato che diverse persone ci tengono ad avere il proprio giardinetto
con indirizzi privati a cui il NAT ci ha abituato. L'unica utilità del
NAT e quello di risparmiare indirizzi pubblici, per proteggere la
propria lan è più efficace usare un firewall piùttosto che indirizzi
privati.
è sufficiente includere includere alcune regole di firewall nel gateway
ninux
- si blocca il traffico in ingresso di default
- si permette il solo traffico verso gli host che vogliamo rendere
disponibili all'esterno. Per maggiori requisiti di sicurezza vedi DMZ
http://it.wikipedia.org/wiki/Demilitarized_zone

-- 
Vincenzo Pirrone
Twitter: @spax_arm
PGP Key ID: 5CF5047D


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  901 bytes
Descrizione: OpenPGP digital signature
URL:         <http://ml.ninux.org/pipermail/calabria/attachments/20140209/a0c2e823/attachment-0001.sig>