Ciao
Indirizzo rete Mask Gateway Interfaccia Metrica
0.0.0.0 0.0.0.0 10.193.12.1 10.193.12.33 20
10.193.12.0 255.255.254.0 10.193.12.33 10.193.12.33 20
[...]
questo è il file IPAccess.hst che abilita hamster a ricevere, come si
vede alla terza riga le reti 10.193.12.0 e 10.193.14.0
ALL,NA,LOCAL,127.0.0.1
ALL,RW,127.0.0.1
ALL, RW, 10.193.0.0, 10.193.255.255
ALL,NA,0.0.0.0,255.255.255.255
[...]
TCP 10.193.12.33:23 0.0.0.0:0 LISTENING
TCP 10.193.12.33:25 0.0.0.0:0 LISTENING
[...]
TCP 10.193.12.33:110 0.0.0.0:0 LISTENING
TCP 10.193.12.33:119 0.0.0.0:0 LISTENING
[...]
TCP 10.193.12.33:143 0.0.0.0:0 LISTENING
In realta' la tua configurazione prevede che Hamster sia impostato per :
==
1. Trattare tutti gli indirizzi IP locali (cioe' associati ad interfacce
fisiche/logiche sul server) come se fossero quello dell'interfaccia
di loopback localhost 127.0.0.1 .
2. Autorizzare l'accesso a tutti i server (compreso quello Telnet di
Amministrazione Remota) sia da locale che da client attestati sulla
subnet 10.193/16 (10.193.0.0 10.193.255.255), e non quindi solo sulle
10.193.12/24 e 10.193.14/24 .
I reali vincoli di accesso sono infatti determinati semmai dalle
impostazioni di subnetting dell'IF Eth0 /23 (10.193.12.0-19.193.13.255)
& dal binding esclusivo dei servizi NNTP/POP/IMAP/SMTP + Telnet su tale
interfaccia.
Se il tuo scopo era quello di limitare l'accesso solo agli utenti su
10.193.12/24, la configurazione non e' ottimale -> peraltro vi e' anche
il problema della visibilita' del server di Amministrazione Remota da
parte delle utenze client.
Aggiungendo ulteriori indirizzamenti IP lato server & associazioni ad
altre subnet, devi adeguare ovviamente le impostazioni di binding dei
servizi & le autorizzazioni IPAccess di Hamster.
Ti illustro la configurazione pratica per uno scenario, che preveda :
==
1. Aggiunta di un'interfaccia IF Eth1 10.193.14.33 associata ad una
subnet utenti 10.193.14/23 (10.193.14.0-10.193.15.255).
2. Autorizzazioni d'accesso ai servizi NNTP/POP/IMAP/SMTP gestiti da
Hamster per le utenze su 10.193.12/24 e 10.193.14/24.
3. Autorizzazione d'accesso al servizio Telnet di Amministrazione Remota
di Hamster, escludendone la visibilita' alle subnet utenti.
Applichiamo quindi la configurazione IP 10.193.14.33 / SM 255.255.254.0
(No Gateway / No DNS) sulla IF Eth1 & verifichiamo che la tabella di
routing sia OK :
==
------------------------------------------------------------------------
Indirizzo rete Mask Gateway Interfaccia Metrica
0.0.0.0 0.0.0.0 10.193.12.1 10.193.12.33 20
10.193.12.0 255.255.254.0 10.193.12.33 10.193.12.33 20
10.193.12.33 255.255.255.255 127.0.0.1 127.0.0.1 20
10.193.14.0 255.255.254.0 10.193.14.33 10.193.14.33 20
10.193.14.33 255.255.255.255 127.0.0.1 127.0.0.1 20
------------------------------------------------------------------------
A quel punto va definito adeguatamente il binding dei servizi Hamster.
Se pertanto si vuole che un dato server locale risponda sia su Eth0 che
su Eth1, e' necessario definire il binding su 0.0.0.0 :
==
- Hamster > Menu Configura > Server Locali
- Scelta del server da configurare
- Scrivere 0.0.0.0 nel box Interfaccia IP (Indirizzo IP in scheda POP3)
Un binding su 0.0.0.0 per i servizi NNTP/POP/IMAP/SMTP, una volta
applicato, risulta evidente dall'output di netstat :
==
------------------------------------------------------------------------
Proto Local Address Foreign Address State
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:110 0.0.0.0:0 LISTENING
TCP 0.0.0.0:119 0.0.0.0:0 LISTENING
TCP 0.0.0.0:143 0.0.0.0:0 LISTENING
------------------------------------------------------------------------
Qualora si desideri restringere l'accesso ad una determinata subnet
utenza, conviene farlo gia' vincolando l'interfaccia d'ascolto se/quando
possibile = se nel caso specifico tu volessi autorizzare p.es. l'accesso
a tutti i servizi solo alla subnet 10.193.12/24, consentendo agli utenti
su 10.193.14/24 solo i Newsgroup, potresti gia' applicare la seguente
situazione in termini di binding :
==
------------------------------------------------------------------------
NNTP - Interfaccia IP : 0.0.0.0 / Porta : 119
POP3 - Indirizzo IP ..: 10.193.12.33 / Porta : 110
IMAP - Interfaccia IP : 10.193.12.33 / Porta : 143
SMTP - Interfaccia IP : 10.193.12.33 / Porta : 25
------------------------------------------------------------------------
Proto Local Address Foreign Address State
TCP 10.193.12.33:25 0.0.0.0:0 LISTENING
TCP 10.193.12.33:110 0.0.0.0:0 LISTENING
TCP 0.0.0.0:119 0.0.0.0:0 LISTENING
TCP 10.193.12.33:143 0.0.0.0:0 LISTENING
------------------------------------------------------------------------
Una volta effettuate correttamente le associazioni di binding, si puo
procedere alla definizione delle autorizzazioni in IPAccess.hst -> nel
caso specifico, consideriamo che tu voglia autorizzare l'accesso in
lettura+scrittura per i servizi NNTP e SMTP/POP/IMAP alle utenze sulle
subnet 10.193.12/24 e 10.193.14/24 :
==
------------------------------------------------------------------------
ALL,NA,LOCAL,127.0.0.1
ALL,RW,127.0.0.1
NNTP,RW,10.193.12.0,10.193.12.255
NNTP,RW,10.193.14.0,10.193.14.255
MAIL,RW,10.193.12.0,10.193.12.255
MAIL,RW,10.193.14.0,10.193.14.255
ALL,NA,0.0.0.0,255.255.255.255
------------------------------------------------------------------------
Ovviamente puoi applicare restrizioni d'accesso in IPAccess.hst, che
replichino e/o integrino quelle definite a livello di binding -> se
riprendessi p.es. la precedente configurazione 'sample' di binding
differenziato, avresti queste regole per il controllo degli accessi :
==
------------------------------------------------------------------------
ALL,NA,LOCAL,127.0.0.1
ALL,RW,127.0.0.1
NNTP,RW,10.193.12.0,10.193.12.255
NNTP,RW,10.193.14.0,10.193.14.255
MAIL,RW,10.193.12.0,10.193.12.255
ALL,NA,0.0.0.0,255.255.255.255
------------------------------------------------------------------------
Per ulteriori info sulla definizione delle regole d'accesso con
differenziazione in base anche a tipologia di servizi & d'accesso
(lettura e/o scrittura), basta far riferimento alla guida di Hamster.
Qualora volessi mantenere attivo anche il server locale Telnet di
Hamster per operazioni di Amministrazione Remota, sarebbe opportuno che
questo non fosse visibile/accessibile (per ovvie ragioni) dagli utenti.
A meno quindi che tu decidessi di mantenerlo comunque attivo, ma poi
usarlo solo localmente con binding su 127.0.0.1, avresti 2 possibilita':
==
1. Definire il binding del server Telnet/RECO in associazione ad
un'apposita subnet distinta da quelle utenti & riservata solo agli
Amministratori di rete/sistema, impostando poi ovviamente la
relativa regola di accesso/autorizzazione in IPAccess.hst e.g.:
==
* Subnet Admin IF IP 172.16.81.33 SM 255.255.255.248
* Telnet - Interfaccia IP : 172.16.81.33 / Porta : 23
RECO,ALL,172.16.81.34,172.16.81.38
2. Effettuare solo le restrizioni d'accesso in IPAccess.hst e.g.:
==
RECO,ALL,10.193.12.11 # Administrator Subnet 01
RECO,ALL,10.193.14.11 # Administrator Subnet 02
E' ovvio che la possibilita' 1 e' migliore in termini di sicurezza.
non mi sono spiegato :-( dunque, io non ho mai provato se un client di
quell'altra rete vede hamster e i suoi servizi. Quello che accade è
che appena abilito l'altra scheda rete, dal server stesso, provo con
outlook a scaricare posta e news, e non funziona :-)
Situazione logica, vista la configurazione che hai postato = il binding
dei servizi e' fisso su 10.193.12.33 (ved. appunto impostazioni server
locali Hamster), per cui - dato che tu provi ad accedere indicando il
nome-host del computer - si ha un KO proprio quando la risoluzione di
quest'ultimo 'switcha' in associazione all'IP dell'altra interfaccia IF
fisica aggiunta.
Ti sei quindi spiegato bene, ma il punto e' un altro = la configurazione
che hai testato (e che hai riportato) non e' adeguata allo scenario
Multi-IF lato server, e di conseguenza ha 'sfalsato' gia' le sole
verifiche in locale sul server effettuate finora.
Una volta configurati adeguatamente i servizi sul server, devi solo
decidere come procedere per quanto riguarda l'accesso lato client delle
2 subnet utenti in base al puntamento su un nome-host univoco.
Se la tua piattaforma/configurazione per la gestione del traffico DNS
consente risposte diverse in funzione dell'IP di origine della query
(e.g. stile Bind con definizione Views o tramite 'DNS doctoring' a
livello di instradamento/controllo del traffico DNS), allora puoi
procedere in tal senso senza problemi :
==
SRC 10.193.12/24 -> resolve to 10.193.12.33
SRC 10.193.14/24 -> resolve to 10.193.14.33
Altrimenti, qualora cio' non fosse possibile/applicabile, avresti
comunque alternative in funzione anche del numero di client e/o della
piattaforma/configurazione a livello proxy/gateway per l'instradamento
delle connessioni & DNS per la risoluzione di query/lookup, e.g.:
==
1. Definire a livello DNS LAN la risoluzione su 10.193.12.33, forzando
a livello gateway/proxy un IP/Port Redirect :
==
- SRC : IP : 10.193.14/0 - Port : Any
- DST : IP : 10.193.12.33 - Port : 25 / 110 / 119 / 143
- RDR : IP : 10.193.14.33 - Port : 25 / 110 / 119 / 143
2. Definire a livello DNS LAN la risoluzione su 10.193.12.33, forzando
a livello HOSTS (e.g. tramite deployment o batch logon script) dei
singoli client su 10.193.14/24 quella su 10.193.14.33 .
3. Definenire a livello DNS LAN la risoluzione su 10.193.12.33, forzando
a livello dei singoli client l'IP/Port Redirect sopracitato tramite
un apposito TCP Redirector, e.g. RINETD su Linux/*Nix-like o FPIPE
su OS Windows :
==
- http://www.foundstone.com/us/resources/proddesc/fpipe.htm
--
|¯ \/¯ | /¯\ /¯__/¯__|<|> *FAX/Mail Server : +39 - 02700426582 <|
|¯|\/|¯|/¯_¯\|(__\__ \<|> *Casella Vocale : +39 - 0230312251 <|
|_| |_/_/ \_\___|___/<|> *FAQ ITGF http://plany.fasthosting.it <|
|>- RST - Plany/MACS -<|> *FAQ GCN http://faq.news.nic.it/ ____<|