Accedi per seguire   
Seguaci 0
Lorenz

Windows Server 2003: Utilizzo Di Rras Come Gateway Per Internet

6 messaggi in questa discussione

WINDOWS SERVER 2003: UTILIZZO DI RRAS COME GATEWAY PER INTERNET

ANALISI DEL PROBLEMA

In una rete locale, prima o poi ci si pone sempre il problema di come collegare l'intera rete locale alla rete Internet. Il collegamento alla rete Internet avviene in genere tramite un unico punto di accesso, questo per evitare spese nell'acquisto di più indirizzi IP pubblici ed anche (e soprattutto) per motivi di sicurezza, poiché una rete esposta direttamente ad Internet è una rete insicura. E' quindi necessario utilizzare un dispositivo che permetta di separare le due reti, rete locale e rete Internet. Un metodo ancora più sicuro è quello di utilizzare un firewall che separa il punto d'accesso alla rete Internet e la rete locale.

SOLUZIONE DEL PROBLEMA

Una possibile soluzione (tra le tante disponibili) potrebbe essere quella di utilizzare un server Windows 2003 che funga da default gateway verso Internet per la rete locale e che abbia anche funzionalità di firewalling, in modo da proteggere la rete da intrusioni esterne. Tutto ciò è possibile senza utilizzare programmi di terze parti utilizzando Routing and Remote Access (RRAS). La rete sarà quindi organizzata come indicato in figura 1:

post-2180-1154293204_thumb.jpg

Figura 1

IMPLEMENTAZIONE PRATICA

CONFIGURAZIONE DELLA RETE

Per prima cosa, bisogna installare e configurare due schede di rete sul server Windows 2003, una per la rete privata (rete interna) e una per la rete esterna, cioè la rete formata dall'adattatore di rete esterno del server Windows 2003 e dall'interfaccia ethernet del router. L'interfaccia interna prenderà il nome "Rete interna", mentre l'interfaccia esterna prenderà il nome "Rete esterna", come mostrato in figura 2:

post-2180-1154293252_thumb.jpg

Figura 2

A questo punto bisogna assegnare gli indirizzi IP agli host della rete locale, alle due interfacce di rete sul server ed al router Internet:

PC1: 192.168.2.1

PC2: 192.168.2.2

PC3: 192.168.2.3

PC4: 192.168.2.4

Server 2003 (rete interna): 192.168.2.254

Server 2003 (rete esterna): 192.168.1.2

Router Internet: 192.168.1.1

Fatto questo, bisogna impostare il router predefinito per la rete locale e per il server 2003. Per i PC della rete locale (PC1, PC2, PC3, PC4), il router predefinito è l'interfaccia di rete del server 2003 collegata direttamente al client, ovvero 192.168.2.254. A questo punto è necessario dire al server come uscire verso Internet, impostando come default gateway dell'interfaccia di rete esterna il router Internet, ossia 192.168.1.1. Sarà poi necessario impostare un server DNS sia per i client sia per il server in grado di risolvere i nomi di dominio della rete Internet, in questa esercitazione non vengono indicati valori, poiché una corretta assegnazione del server DNS dipende dalla situazione della rete locale.

CONFIGURAZIONE DI RRAS

Routing and Remote Access (d'ora in poi RRAS) è il componente che, correttamente configurato, permette di utilizzare un server Windows 2003 come gateway Internet (oltre a permettere altre cose, come mostrato in una precedente esercitazione). Questo componente è disabilitato se non utilizzato, quindi va abilitato e configurato.

Per abilitare RRAS, bisogna andare su Start -> Administrative Tools -> Routing and Remote Access. Si aprirà la finestra (snap-in di Microsoft Management Console o MMC) di gestione del servizio. Nella colonna di sinistra, compare un oggetto che prende il nome assegnato al server, cliccare col tasto destro su quell'oggetto e quindi selezionare la voce "Configure and Enable Routing and Remote Access" come mostrato in figura 3.

post-2180-1154293314_thumb.jpg

Figura 3

A questo punto, partirà la creazione guidata che permetterà di configurare in modo opportuno il servizio. Alla prima schermata, cliccare su Next e quindi selezionare la voce "Network Address Translation (NAT)", e proseguire. La schermata successiva permette di scegliere quale interfaccia di rete è l'interfaccia "pubblica" (cioè, nel nostro caso, quella collegata direttamente al router Internet), scegliere quindi l'interfaccia "Rete Esterna". Inoltre, sempre dalla stessa schermata, è possibile impostare una protezione di base della nostra rete, abilitando un firewall che blocca tutte le connessioni dall'esterno, tranne le risposte a richieste provenienti dall'interno (come ad esempio la richiesta di un browser). Per abilitare il firewall, cliccare sulla checkbox "Enable security on the selected interface by setting up Basic Firewall". Queste impostazioni sono mostrate in figura 4:

post-2180-1154293363_thumb.jpg

Figura 4

Completato questo passo, cliccare su Next. Si arriva alla schermata di chiusura della creazione guidata, quindi basta cliccare su Finish per abilitare RRAS e configurarlo come punto d'accesso ad Internet per la rete locale. Se questi passaggi sono stati seguiti come indicato, i vari client della rete locale (nel nostro caso, PC1, PC2, PC3 e PC4) dovrebbero già poter navigare sul Web ed utilizzare la posta elettronica.

REGOLARE L'ACCESSO AI SERVIZI INTERNET

Il firewall di base installato tramite RRAS è un firewall piuttosto limitato, in quanto non fa un controllo del traffico in uscita, per cui, dalla rete locale, è possibile compiere qualsiasi operazione verso l'esterno. Per limitare l'utilizzo dell'accesso ad Internet da parte degli utenti della rete locale, è possibile utilizzare alcuni filtri, disponibili sia sull'interfaccia di rete interna che sull'interfaccia di rete esterna. Ad esempio, è possibile impedire l'accesso allo scaricamento ed invio della posta elettronica, oppure, è possibile permettere solamente la navigazione Web e l'utilizzo della posta elettronica. Di seguito è possibile vedere un esempio pratico, in cui verrà consentito solamente l'accesso alla navigazione sul Web e sui siti HTTPS (quindi, porte TCP 80 e 443), e la ricezione e spedizione di messaggi di posta elettronica (porte TCP 110 e 25). Inoltre è necessario che la rete abbia l'accesso al servizio DNS per la risoluzione dei nomi di dominio, che va quindi abilitato (porta 53 TCP e UDP).

Per prima cosa, aprire lo snap-in di RRAS e quindi espandere la voce "IP Routing" e cliccare sulla voce "NAT/Basic Firewall", come mostrato in figura 5:

post-2180-1154293452_thumb.jpg

Figura 5

Fatto questo, cliccare col tasto destro sulla voce "Rete Esterna" e scegliere "Properties", quindi, nella schermata presentata, cliccare su "Outbound filters". Comparirà una finestra in cui vengono visualizzati i filtri inseriti e da cui è possibile inserire nuovi filtri. Inoltre, cosa molto importante, viene indicato al sistema se abilitare tutto il traffico tranne quello specificato nei filtri (opzione "Transmit all packets excepts those that meet the criteria below") o se negare tutto il traffico tranne quello specificato nei filtri (opzione "Drop all packets excepts those that meet the criteria below"). In questo caso, selezionare l'opzione "Drop all packets excepts those that meet the criteria below", in modo che siano abilitati solamente i protocolli specificati nei filtri. L'opzione sarà selezionabile solamente dopo aver inserito il primo filtro.

Per creare un nuovo filtro, cliccare sul pulsante "New", comparirà una finestra in cui è possibile inserire la rete sorgente, la rete di destinazione, e il tipo di protocollo da bloccare o abilitare, identificato dal tipo di protocollo di trasporto e dalla relativa porta. Per abilitare il protocollo HTTP (cioè, in sostanza, la navigazione sul Web), impostare come indirizzo IP della rete sorgente (Source network) 192.168.1.2, ossia l'indirizzo dell'interfaccia di rete esterna del server 2003, mentre come subnet mask, impostare 255.255.255.255. Non è necessario specificare la rete di destinazione (Destination Network), in questo modo il filtro verrà applicato a tutti gli indirizzi IP del Web. Rimane da specificare il protocollo di trasporto e la porta del servizio HTTP: nell'elenco a discesa "Protocol", scegliere la voce "TCP", lasciare in bianco la porta sorgente (Source port) e mettere come porta destinazione (Destination port) il valore 80, come mostrato in figura 6:

post-2180-1154293496_thumb.jpg

Figura 6

La stessa operazione è da ripetere per i protocolli da abilitare per permettere un minimo funzionamento dei servizi Internet indispensabili, cioè quelli indicati precedentemente, fino ad arrivare ad avere un elenco dei filtri uguale a quello mostrato in figura 7:

post-2180-1154293539_thumb.jpg

Figura 7

CONCLUSIONI

Utilizzando il servizio NAT/Basic Firewall di RRAS su un server Windows 2003, è possibile, senza nessun software aggiuntivo, offrire un unico punto d'accesso ad Internet fruibile da tutti gli host che fanno parte di una rete locale, con inclusa una protezione perimetrale di base grazie al firewall integrato. Questa soluzione ha come vantaggi la relativa facilità di configurazione e l'economicità, ma presenta alcuni inconvenienti: ad esempio, quando si imposta la configurazione, questa vale per tutta la rete locale, e non è possibile fare configurazioni personalizzate per diverse categorie di utenti. Bloccando o non abilitando il servizio FTP, questo non sarà accessibile per nessun utente della rete, amministratore di rete compreso. Questo modo di procedere può quindi essere adatto a piccole aziende che non hanno esigenze particolari, in caso di esigenze più specifiche, è necessario rivolgere l'attenzione a software più evoluti, come ad esempio Microsoft ISA Server (che sarà oggetto di una prossima esercitazione) oppure, in caso si voglia utilizzare un prodotto open source, Smoothwall, di cui WinInizio ha un tutorial preparato dal nostro Enzoservice.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ho seguito la guida , ma dai pc della reta interna non riesco a navigare .

riesco pero a pingare bene ip come 64.x.x.x , ma se apro ie6 non navigo , se scrivo un indirizzo di un sito vedo che in basso a sinistra del browser scritto opening 64.x.x.x ( come ad esempio se provo con google ) ma poi non apre niente .

se nella barra degli indirizzi scrivo un ip di un sito , non apre niente comunque.

sul pc client ( xp pro ) la local area connection e' settata con il gatway ip della scheda della rete interna del server 2003 e anche come dns 1. Ma ho provato anche senza gateway e dns1 ma non cambia .

Con ie6 ho provato sia con che senza proxy configurato ......

Che ne pensi ?

Ciao e grazie :):P

Modificato da carlainz

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao ho risolto cambiando questo

impostare come indirizzo IP della rete sorgente (Source network) 192.168.1.2, ossia l'indirizzo dell'interfaccia di rete esterna del server 2003,

invece del indirizzo della scheda di rete esterna ho messo quello della scheda della rete interna .

adesso tutto funziona :)

ciao ciao

Modificato da carlainz

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusa Carlainz, ho visto il tuo quesito solo ora... :P

La situazione è la stessa descritta nella guida? Perché io per scrupolo ho provato la configurazione durante la stesura della guida e ti assicuro che funzionava... :P:wub::)

Altra cosa: il problema era nell'impostazione dei filtri, dico bene? ;):P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
ciao

si la situazione e' la stessa , cmq adesso funziona bene , ho cambiato il filtro

http://www.wininizio.it/forum/index.php?ac...st&id=10434

con indirizzo ip della scheda di rete esterna .

Adesso installo isa server , conosci qualche guida veloce ?

grazie

ciao :P

Ottimo! :P Purtroppo non conosco una guida veloce di ISA Server, so che esiste il sito http://www.isaserver.org che però è in inglese, io ISA Server ho imparato ad usarlo per ciò che mi serviva sul campo (grazie anche ad un'altra persona). :wub::)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0