ZeroByte

.precettore.

User info:

Registered: Oct 2003
Posts: 87 (0.01 al dì)
Location: Milano
Corso: Informatica Mag.
Anno: Primo
Time Online: 8 Days, 17:32:44 [...]
Status: Offline

Post actions:

Ciao a tutti! Mi appello a qualche esperto di networking che mi possa aiutare, visto che sto incappando in questo bel problema, all'apparenza estremamente semplice da risolvere... Ecco la situazione: il traffico di una rete (metropolitana), viene controllato da diverse sonde IDS. Queste sonde ricevono il traffico da più switch configurati in SPAN. Per diversi motivi, è necessario cambiare questa architettura. Si vuole implementare una soluzione alternativa che prevede che tutto il traffico del CED, arrivi su un'unica interfaccia (per il momento non ci dovrebbero essere problemi prestazionali). Sarà quindi necessario poi suddividere il traffico proveniente da questa interfaccia su più interfacce (in base all'indirizzo IP del pacchetto) sulle quali saranno attestate le diverse sonde IDS, in modo che ciascun IDS veda solamente un determinato tipo di traffico (Ad esempio solamente il traffico della zona Internet, il traffico della Extranet e così via).
Al momento stiamo sperimentando un prodotto commerciale (di cui non farò il nome per non farne pubblicità ) che purtroppo però non si sta comportando bene, nel senso che per ragioni a noi oscure perde una quantità mostruosa di pacchetti (vi assicuro che al momento il carico di rete è estremamente basso). Come soluzione alternativa, ho subito pensato ad una Linux box con su Iptables. Iptables però non riesce a gestire traffico che non conosce, ed andrebbe affiancato ad un altro tool, esattamente ebtables. In rete però, ho notato che il buon pf dei sistemi BSD, dovrebbe fare tutto in maniera estremamente più semplice. Non conoscendo però tali sistemi, mi sono affidato a questo post: http://taosecurity.blogspot.com/200...on-with-pf.html. Ora, usando dup-to, mi viene replicato solo il traffico NON Tcp. Qualcuno sa darmi qualche dritta?
Grazie, se non altro per essere arrivati a leggere fin qui

__________________
Un computer ti fa fare più errori e più velocemente di qualunque altra invenzione dell'uomo - con l'eccezione forse delle armi da fuoco e della tequila (Mitch Ratcliffe)

DeepBlue

tired guy

User info:

Registered: Sep 2003
Posts: 4258 (0.54 al dì)
Location: CSN
Corso: Info tlc
Anno:
Time Online: 52 Days, 8:40:31 [...]
Status: Offline

Post actions:

PF è veramente potente, ho iniziato anche io a guardarlo, perché nei miei progetti aziendali c'è l'implementazione di un bilanciatore fault tolerant con carp e pfsync. Purtroppo non sono abbastanza skillato per darti un consiglio in questo senso.

Per quanto riguarda Linux, secondo me iptables non è il software più adatto a fare quello che ti serve. Forse dovresti dare un'occhiata a Zebra:

http://www.zebra.org

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

Last edited by DeepBlue on 26-11-2007 at 19:46

ZeroByte

.precettore.

User info:

Registered: Oct 2003
Posts: 87 (0.01 al dì)
Location: Milano
Corso: Informatica Mag.
Anno: Primo
Time Online: 8 Days, 17:32:44 [...]
Status: Offline

Post actions:

Ciao DeepBlue, ti ringrazio innanzitutto dell'interessamento. Ho dato un'occhiata veloce alla documentazione di Zebra. Mi sembra di aver capito che con questo software sia possibile gestire protocolli di routing, tipo BGP, OSPF, RIP e così via (smentiscimi pure se è il contrario). A me serve invece filtrare e smistare il traffico su più interfacce di rete, se possibile in modo del tutto trasparente. In soldoni, mi servirebbe qualcosa del tipo:

Analisi del traffico in entrata su eth0 --> Se l'IP destination è 192.168.0.1/27, allora forwarda tutto su eth1, se l'IP destination è 172.16.0.1/27 allora forwarda su eth2 e così via.

Spero di essere stato più chiaro. Saluti!!

__________________
Un computer ti fa fare più errori e più velocemente di qualunque altra invenzione dell'uomo - con l'eccezione forse delle armi da fuoco e della tequila (Mitch Ratcliffe)

p2p

.arcimaestro.

User info:

Registered: Oct 2002
Posts: 377 (0.05 al dì)
Location:
Corso: informatica
Anno:
Time Online: 4 Days, 7:49:11 [...]
Status: Offline

Post actions:

con delle normali access list puoi farlo, se non vuoi spendere per degli apparati puoi usare http://www.vyatta.com/
ciao

p2p

.arcimaestro.

User info:

Registered: Oct 2002
Posts: 377 (0.05 al dì)
Location:
Corso: informatica
Anno:
Time Online: 4 Days, 7:49:11 [...]
Status: Offline

Post actions:

Alla fine? un feedback ce lo dai??

ZeroByte

.precettore.

User info:

Registered: Oct 2003
Posts: 87 (0.01 al dì)
Location: Milano
Corso: Informatica Mag.
Anno: Primo
Time Online: 8 Days, 17:32:44 [...]
Status: Offline

Post actions:

Hai ragione, chiedo venia! Il fatto è che ancora a tutt'oggi la situazione non è stata definita completamente. L'architettura di rete ha subito qualche modifica, ma al 99% verrà acquistato il prodotto commerciale all-in-one di cui al primo post. Ho provato a far andare OpenBSD, ma non sono riuscito ad ottenere completamente quello che volevo, anche se per la verità devo dire che tutto questo mi ha fatto avvicinare a questo nuovo Sistema Operativo!
In tutto questo non me la sono sentita di spingere molto su soluzioni Open Source diciamo "casalinghe", perché per il Cliente in questione è essenziale avere assistenza 24h su 24h (è un ambiente abbastanza critico che non ammette interruzioni di servizio, anche se stiamo parlando di sonde IDS).
Grazie a tutti comunque!

__________________
Un computer ti fa fare più errori e più velocemente di qualunque altra invenzione dell'uomo - con l'eccezione forse delle armi da fuoco e della tequila (Mitch Ratcliffe)