Interfacce di rete#
La pagina Interfacce e dispositivi configura come il server è collegato alla rete locale (LAN) e/o ad altre reti (ad esempio Internet).
NethSecurity supporta un numero illimitato di interfacce di rete. Qualsiasi rete gestita dal sistema deve seguire queste regole:
le reti devono essere separate logicamente: ogni rete deve avere indirizzi diversi
le reti private, come le LAN, devono seguire la convenzione degli indirizzi dal documento RFC1918
le reti devono essere separate fisicamente utilizzando switch diversi oppure separate logicamente utilizzando VLAN (Virtual Local Area Network)
Ogni interfaccia di rete ha una zona specifica che ne determina il comportamento. Una configurazione di rete di base per un router include tipicamente almeno due interfacce, ovvero LAN (Local Area Network) e WAN (Wide Area Network):
lan: rete locale, gli host su questa rete possono accedere a qualsiasi altra rete configurata
wan: rete pubblica, gli host su questa rete possono accedere solo al server stesso
Tutte le interfacce di rete configurate sono elencate nella parte superiore della pagina. Ogni interfaccia viene visualizzata con il proprio nome e la zona firewall assegnata. Questa sezione offre una panoramica immediata delle configurazioni attuali, permettendo di vedere rapidamente quali reti sono già configurate e associate a specifiche zone di sicurezza.
Nella sezione inferiore della pagina sono elencati i dispositivi di rete disponibili ma non configurati. Per configurare un dispositivo, si fa clic sul pulsante Configura corrispondente al dispositivo desiderato. I nuovi dispositivi VLAN creati sono visibili in questa sezione.
Indirizzi IPv4 per reti private (RFC1918)
Le reti private TCP/IP non direttamente connesse a Internet dovrebbero utilizzare indirizzi speciali selezionati dall’Internet Assigned Numbers Authority (IANA).
Rete privata |
Maschera di sottorete |
Intervallo di indirizzi IP |
|---|---|---|
10.0.0.0 |
255.0.0.0 |
10.0.0.1 - 10.255.255.254 |
172.16.0.0 |
255.240.0.0 |
172.16.0.1 - 172.31.255.254 |
192.168.0.0 |
255.255.0.0 |
192.168.0.1 - 192.168.255.254 |
Interfacce logiche#
Le interfacce di rete logiche sono interfacce di rete virtuali che consentono una maggiore flessibilità e funzionalità nelle configurazioni di rete. A differenza delle interfacce di rete fisiche, che corrispondono a porte hardware reali, le interfacce di rete logiche sono basate su software e possono essere configurate e gestite per soddisfare requisiti di rete specifici.
Fare clic sul pulsante Aggiungi interfaccia logica per creare un nuovo dispositivo di rete virtuale. Il dispositivo può essere un
bridge: è un’interfaccia di rete logica che collega due o più segmenti di rete differenti, consentendo la comunicazione tra dispositivi presenti in questi segmenti. Un bridge estende di fatto la rete locale, permettendo ai dispositivi di comunicare come se fossero sulla stessa rete fisica.
bond: noto anche come network bonding o NIC bonding, è un metodo che consente di combinare due o più interfacce di rete fisiche in un’unica interfaccia logica. Offre due vantaggi principali: aumento della larghezza di banda e tolleranza ai guasti.
I bond possono essere configurati in modalità multiple.
Modalità che forniscono bilanciamento del carico e tolleranza ai guasti:
Round Robin bilanciato (consigliato)
Bilanciamento XOR
802.3ad (LACP): richiede il supporto a livello di driver e uno switch con la modalità di aggregazione dinamica dei collegamenti IEEE 802.3ad abilitata
Bilancia TLB: richiede il supporto a livello di driver
Bilanciare ALB
Modalità che forniscono solo tolleranza ai guasti:
Backup attivo (consigliato)
Politica di trasmissione
Durante la creazione di un bond, l’interfaccia utente mostrerà un indirizzo IP di gestione nella rete privata 127.x.x.1/32. Questo indirizzo IP viene utilizzato esclusivamente per la gestione del bond e non è coinvolto nell’inoltro del traffico. Una volta creato il dispositivo bond, è possibile assegnargli un indirizzo IP e una zona firewall. Si noti che la configurazione del bond non è modificabile dopo la creazione. Se è necessario modificare l’indirizzo IP o la zona del bond, sarà necessario rimuovere la sua configurazione e riconfigurarla nuovamente. Se è necessario modificare i dispositivi del bond, la modalità del bond o l’IP di gestione, sarà necessario rimuovere la configurazione del bond e il dispositivo bond e ricrearlo da zero.
VLAN#
Una VLAN, o Virtual Local Area Network, è una tecnologia di rete che consente agli amministratori di rete di creare reti logicamente segmentate all’interno di un’infrastruttura di rete fisica. Le VLAN permettono la creazione di più domini di broadcast in una rete, anche se sono fisicamente collegati allo stesso switch di rete.
È possibile creare un nuovo dispositivo VLAN facendo clic sul pulsante Crea dispositivo VLAN. Selezionare il tipo di dispositivo VLAN:
VLAN 802.1q è utilizzato principalmente per implementazioni VLAN standard all’interno delle organizzazioni
802.1ad (QinQ) viene utilizzato nelle reti dei provider di servizi dove più clienti richiedono la segmentazione VLAN, e queste VLAN segmentate devono essere supportate anche nella rete del provider
Assicurarsi inoltre di scegliere l’ID VLAN corretto. Si ricorda che è necessario configurare lo stesso ID VLAN anche all’interno dello switch di rete.
Alias IP#
Utilizzare l’IP aliasing per assegnare più indirizzi IP alla stessa interfaccia di rete.
L’uso più comune è con un’interfaccia wan: quando l’ISP fornisce un pool di indirizzi IP pubblici (all’interno della stessa subnet), è possibile aggiungerne alcuni (o tutti) alla stessa interfaccia wan e gestirli individualmente (ad esempio nella configurazione dell’inoltro porte).
Per aggiungere un alias, fare clic sul menu con i tre puntini ⋮ nell’angolo destro dell’interfaccia di rete esistente, quindi selezionare la voce Crea interfaccia alias.
PPPoE#
PPPoE (Point-to-Point Protocol over Ethernet) collega il server a Internet tramite un modem DSL. È possibile configurare una nuova connessione PPPoE utilizzando un’interfaccia di rete Ethernet non assegnata oppure creando una nuova interfaccia logica.
All’interno della finestra dell’interfaccia di rete, scegliere la zona wan, quindi selezionare il protocollo PPPoE. Successivamente, compilare tutti i campi richiesti come Nome utente e Password.
PPPoE con DHCPv6-PD#
La DHCPv6 Prefix Delegation (DHCPv6-PD) automatizza l’assegnazione dei prefissi IPv6 da parte del proprio provider di servizi Internet (ISP). Elimina la necessità di configurazione manuale o di Network Address Translation (NAT), semplificando la distribuzione di IPv6.
Per prima cosa, assicurarsi che il proprio ISP supporti DHCPv6-PD, quindi seguire questi passaggi:
Configurare l’interfaccia WAN: impostare la modalità dell’interfaccia WAN su PPPoE e abilitare l’opzione
Abilita IPv6Configurare l’interfaccia LAN: abilitare l’opzione Enable IPv6 e lasciare vuoto il campo dell’indirizzo IPv6
Abilitando IPv6 sia per le interfacce WAN che LAN senza specificare un indirizzo per la LAN, il router richiederà e riceverà automaticamente un prefisso IPv6 (di solito un /64) dal proprio ISP tramite DHCPv6-PD. Questo prefisso verrà poi utilizzato per assegnare indirizzi IPv6 individuali ai dispositivi sulla rete.
Adattatori USB-Ethernet#
Gli adattatori USB-Ethernet non sono considerati adatti all’uso in un dispositivo firewall critico per la comunicazione di rete; per questo motivo i driver non sono inclusi nell’immagine di NethSecurity. Solo a scopo sperimentale, è possibile installare driver specifici tramite il gestore dei pacchetti per l’utilizzo in un ambiente di test.
Si raccomanda vivamente di non utilizzare questi adattatori in ambienti di produzione. Se l’unità dispone di un abbonamento Enterprise o Community, si tenga presente che gli adattatori USB-to-Ethernet non sono coperti dal supporto Nethesis.
Avvertimento
I pacchetti aggiuntivi, inclusi i moduli del kernel, non vengono mantenuti durante gli aggiornamenti dell’immagine; pertanto, in caso di aggiornamento, sarà necessario scaricarli e installarli nuovamente se necessario.
Come installare moduli USB-to-Ethernet#
Questi pacchetti possono essere installati dalla console della riga di comando, è sufficiente individuare il modulo corretto e installarlo.
Verificare che l’adattatore ethernet sia collegato alla porta USB utilizzando
lsusb. Esempio di output:# lsusb Bus 002 Device 002: ID 0bda:8153 Realtek USB 10/100/1000 LAN Bus 002 Device 001: ID 1d6b:0003 Linux 5.15.162 xhci-hcd xHCI Host Controller Bus 001 Device 002: ID 0627:0001 QEMU QEMU USB Tablet Bus 001 Device 001: ID 1d6b:0002 Linux 5.15.162 xhci-hcd xHCI Host Controller
Cercare il modulo kernel:
opkg update opkg find kmod-usb-net-\*
Esempio di output:
kmod-usb-net-aqc111 - 5.15.162-1 - Support for USB-to-Ethernet Aquantia AQtion 5/2.5GbE kmod-usb-net-asix-ax88179 - 5.15.162-1 - Kernel module for USB-to-Ethernet ASIX AX88179 based USB 3.0/2.0 to Gigabit Ethernet adapters. kmod-usb-net-cdc-ether - 5.15.162-1 - Kernel support for USB CDC Ethernet devices kmod-usb-net-cdc-ncm - 5.15.162-1 - Kernel support for CDC NCM connections kmod-usb-net-dm9601-ether - 5.15.162-1 - Kernel support for USB DM9601 devices kmod-usb-net-lan78xx - 5.15.162-1 - Kernel module for Microchip LAN78XX based USB 2 & USB 3 10/100/1000 Ethernet adapters. kmod-usb-net-mcs7830 - 5.15.162-1 - Kernel module for USB-to-Ethernet MCS7830 convertors kmod-usb-net-pegasus - 5.15.162-1 - Kernel module for USB-to-Ethernet Pegasus convertors kmod-usb-net-rtl8150 - 5.15.162-1 - Kernel module for USB-to-Ethernet Realtek 8150 convertors kmod-usb-net-rtl8152 - 5.15.162-1 - Kernel module for USB-to-Ethernet Realtek 8152 USB2.0/3.0 convertors kmod-usb-net-smsc95xx - 5.15.162-1 - Kernel module for SMSC LAN95XX based devices kmod-usb-net-sr9700 - 5.15.162-1 - Kernel module for CoreChip-sz SR9700 based USB 1.1 10/100 ethernet devices
Installare il driver corretto:
opkg install kmod-usb-net-rtl8150
Verificare che venga visualizzata una nuova interfaccia ethX utilizzando
ifconfig -aConfigurare l’ethernet dall’interfaccia utente