Debian-swirl.png Versioni Compatibili

Tutte le versioni supportate di Debian
Gateway-Router

Sommario


Introduzione

Una macchina linux può essere configurata per svolgere tutte le funzioni svolte da un qualsiasi router/gateway dedicato e reperibile in commercio. Infatti sarebbe più corretto dire che sono questi dispositivi a offrire le stesse funzionalità che può offrire una macchina linux, in quanto molto spesso il software installato non è altro che una versione minimale e personalizzata di linux.

Gateway

La principale funzionalità di un router-gateway è quella di avviare, condividere e gestire la connessione ad internet all'interno di una LAN. Prima dell'avvento delle connessioni di tipo DSL erano comuni i modem interni, mentre oggi è esattamente l'opposto, pertanto anche configurando un computer come router/gateway non sarà mai possibile fare a meno di un router/gateway dedicato, in quanto non sono più sostanzialmente reperibili in commercio dispositivi che fungano da modem puri. Si hanno quindi tre possibili scenari:

  • Router/Gateway configurabile in modalità Full-bridge, in tal caso il dispositivo può funzionare come modem puro e quindi la macchina linux può gestire direttamente anche autenticazione all'ISP ed incapsulamento dei dati. Il software richiesto in tale caso è Pppoeconf;
  • Router/Gateway configurabile in modalità Half-bridge, dove il dispositivo si occupa solo di autenticazione ed incapsulamento dei dati. Tutti gli altri servizi potranno/dovranno essere delegati al computer linux. Sebbene il dispositivo non possa funzionare modem puro questa modalità non introduce un livello di NAT/firewall esattamente come quella "full-bridge" (e quindi non dovrebbe introdurre alcuna latenza aggiuntiva, visto che si evita di fare due volte NAT);
  • Router/Gateway utilizzabile solo in modalità standard. In questo caso l'unica possibilità è disattivare tutti i servizi che si intendono gestire tramite macchina linux e configurare il dispositivo affinché passi tutto il traffico senza filtrarlo alla suddetta macchina linux. Di norma tutti i dispositivi commerciali permettono di inoltrare tutto il traffico non filtrato ad un dispositivo della propria LAN. Tale opzione viene generalmente chiamata "DMZ" (demilitarize zone), ma ogni costruttore può usare una sua dicitura particolare. Per quanti servizi si possano disattivare, autenticazione, incapsulmanento e NAT dei dati rimarrà sempre a carico del suddetto dispositivo.

Indipendentemente dallo scenario è consigliato usare una macchina dotata di due schede di rete, in modo da separare completamente la propria LAN dal mondo esterno. Nel caso di scenario Half-bridge e/o standard è anche consigliabile configurare due subnet differenti per ciascuna scheda di rete.

Subnet differenti

Nel caso si optasse per la configurazione con subnet diverse si avrebbe una situazione per cui il Gateway/Router/Modem esterno (es.: IP 192.168.2.1) è collegato ad una porta del PC Gateway/Router Linux (es. IP 192.168.2.74), mentre tutti gli altri PC della LAN sono collegati alla seconda porta del PC Gateway/Router Linux (es. IP 192.168.1.1).

-----------            --------------------------            --------------
G/R esterno                     G/R linux                          LAN
192.168.2.1    <-->    192.168.2.74 | 192.168.1.1    <-->    192.168.1.0/24
-----------            --------------------------            --------------

Se così fosse è utile osservare quanto segue:

  • Il gateway predefinito del PC Gateway/Router Linux deve essere l'IP del Gateway/Router/Modem esterno (192.168.2.1).
  • Il gateway predefinito di tutti i dispositivi della subnet 192.168.1.0/24 deve essere l'IP della seconda interfaccia del PC Gateway/Router Linux (192.168.1.1).
  • L'unico dispositivo su cui è necessario configurare una rotta statica è il Gateway/Router/Modem esterno, ed in particolare (rimanendo all'esempio soprastante) i valori sono 192.168.1.0 | 255.255.255.0 | 192.168.2.74. Questo perché un PC dotato di due interfacce con IP appartenenti a subnet diverse sa instradare automaticamente e correttamente i pacchetti appartenenti alle subnet associate alle singole interfacce, mentre i PC della LAN hanno quest'ultimo PC impostato come gateway.

Routing

Il routing (instradamento) dei pacchetti è un'attività normalmente poco rilevante per le piccole reti come quelle domestiche e dei piccoli uffici. In tali contesti infatti le impostazioni automatiche sono più che sufficienti per gestire il normale traffico dati.
Apprendere i rudimenti di tali materia è di norma richiesto solo quando si ha la necessità di creare più di una subnet all'interno della propria LAN.
Chi fosse interessato può far riferimento a questa breve guida dedicata a Iproute2, una suite di strumenti appunto pensata per la configurazione del routing in tutte le sue declinazioni.

Firewall e NAT

Entrambe le funzionalità possono essere gestite attraverso il firewall integrato nel kernel linux, ovvero iptables.