Firewall DHCP · 4 min read · Feb 12, 2026

CentOS 5 - Firewall del Gateway Domestico Con Server DHCP Per Condivisione della Connessione

CentOS 5 - Firewall del Gateway Domestico Con Server DHCP Per Condivisione della Connessione

Versione 1.0
Autore: Cameron Camp
Ultima modifica: 16 Gennaio 2008

Se stai cercando di configurare una rete domestica, probabilmente vuoi impostare un computer esposto all’esterno collegato al tuo modem DSL/Cable, e poi mettere tutti i tuoi computer dietro quel firewall per tenerli al sicuro. Questo tutorial ti mostrerà come utilizzare una singola connessione esterna sul computer gateway (utilizzando il firewall Iptables), e una seconda connessione interna sulla stessa macchina in modo da poter collegare i computer all’interno della tua casa/ufficio, e dare loro automaticamente gli IP quando li colleghi (utilizzando il server DHCP). Iptables può essere molto complicato, configureremo solo un firewall di base, puoi aggiungere più sicurezza in seguito senza rompere nulla. In Linux ci sono molti modi per farlo, questo è sperabilmente abbastanza semplice e ti insegnerà le basi. Ho fatto questo su una macchina CentOS 5, anche se funzionerebbe su varianti Debian con solo lievi modifiche. Durante questo tutorial sono loggato come root, cosa che in generale NON dovresti fare, ma rende il tutorial più semplice, ma se preferisci farlo in modo più sicuro, aggiungi “sudo” prima di ogni comando e funzionerà.

gateway_diagram2

I computer all’interno del tuo ufficio saranno anche in grado di comunicare tra loro, quindi puoi collegare stampanti, computer e condividere connessioni di rete attraverso lo switch. Puoi anche configurare cose sul tuo server Gateway in seguito, come un’unità di backup di rete per tutti i tuoi computer utilizzando Samba in modo relativamente semplice. C’è molta espandibilità in questa configurazione, ma per ora la terremo semplice.

La prima cosa da fare sul tuo server Gateway è configurare e abilitare Iptables, il firewall predefinito che viene fornito con CentOS. Diremo di consentire il traffico in uscita dalla tua interfaccia eth1 verso Internet. Devi aggiungere un’entrata Iptables, salvarla e riavviare Iptables.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  
service iptables save  
service iptables restart

Ora dobbiamo dire al kernel di iniziare a consentire l’inoltro affinché la regola funzioni:

echo 1 > /proc/sys/net/ipv4/ip_forward

Questo funzionerà solo fino al riavvio, quindi rendiamolo permanente, utilizzando il tuo editor preferito, aggiungi la seguente riga a /etc/sysconfig/network:

FORWARD_IPV4=YES

Ora dobbiamo configurare un server DHCP per fornire gli IP ai computer all’interno della LAN. Lo facciamo installando il server DHCP in questo modo:

yum install dhcp

Per impostazione predefinita, verrà creato un file DHCP di esempio che modificheremo e poi sostituiremo con quello reale:

cd /usr/share/doc/dhcp-whateverversionyouhave/  
vi dhcpd.conf.sample

Puoi copiare/incollare quello che sto usando, o semplicemente modificare il tuo per soddisfare le tue esigenze. Una parola di cautela, la tua rete potrebbe essere diversa dalla mia. Questo file darà ai tuoi computer interni un intervallo di IP da 192.168.0.128 a 192.168.0.254 con una maschera di sottorete di 255.255.255.0, modifica per soddisfare le tue esigenze. Dovrai anche far corrispondere le informazioni IP su eth1 a un IP statico più tardi se usi i tuoi valori qui.

ddns-update-style none; # mantienilo semplice per ora
ignore client-updates;  # qui anche
DHCPARGS=eth1;          # indica su quale interfaccia ascoltare
subnet 192.168.0.0 netmask 255.255.255.0 {
# --- gateway predefinito
       option routers                  192.168.0.1;   # gateway sulla tua interfaccia interna eth1
       option subnet-mask              255.255.255.0; # maschera di sottorete
       option domain-name              "example.com" # nome di dominio assegnato al client
       option domain-name-servers      209.242.10.10; # l'IP dei nameserver del tuo ISP che stai utilizzando
       option time-offset              -18000;        # Eastern Standard Time - impostalo su quello che hai
       range 192.168.0.128 192.168.0.254;             # l'intervallo di IP che i tuoi client riceveranno
       default-lease-time 21600;                      # quanto a lungo i client manterranno lo stesso IP
       max-lease-time 43200;
       # vogliamo che il nameserver appaia a un indirizzo fisso
       host ns {
               next-server ns1.ispserver.net;         # cambia con i nameserver del tuo ISP
               hardware ethernet 00:09:5B:8E:05:67;   # hardware MAC
               fixed-address 209.242.10.10;           # l'IP del nameserver del tuo ISP
      }
}

Ora esegui il backup del tuo attuale file di configurazione dhcp e copia quello che hai appena creato sopra di esso:

mv /etc/dhcpd.conf /etc/dhcpd.conf.old  
cp dhcpd.conf.sample /etc/dhcpd.conf

Ora riavviamo il server DHCP (dopo aver controllato la configurazione per errori, se ci sono errori, li troverai elencati in /var/log/messages) affinché le modifiche abbiano effetto

service dhcpd configtest  
service dhcpd restart

Ora dobbiamo configurare l’interfaccia eth1 (interna) per corrispondere a quanto appena fatto nel server DHCP, quindi modifica il file /etc/sysconfig/network-scripts/ifcfg-eth1 in modo che assomigli a questo:

DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.0.1
NETMASK=255.255.255.0
GATEWAY=10.1.10.43

Dovrai modificare almeno l’IP del GATEWAY, quello è solo l’IP della mia interfaccia eth0, cambialo con quello che è il tuo IP eth0, che puoi scoprire eseguendo:

ifconfig

Dovrebbe dire qualcosa del tipo: eth0 inet addr:10.1.10.43, quello è quello che vuoi.

Successivamente devi dire al tuo computer di ascoltare la richiesta DHCP che arriva attraverso la rete interna. Quando un computer client cerca un indirizzo DHCP, invia un segnale a chiunque ascolti con un indirizzo IP di 255.255.255.255, quindi devi dire al tuo server DHCP di ascoltare quell’IP:

route add -host 255.255.255.255 dev eth1

Quindi ora testiamo la configurazione. Dovresti essere in grado di andare su uno dei computer client, collegarlo allo switch dove è collegato il tuo gateway (nel mio caso un economico switch Netgear da $30 modello# FS608) e dovrebbe trovare un IP utilizzando il tuo nuovo server DHCP, e dovresti essere in grado di navigare in Internet.

Dovresti anche configurare il tuo firewall per bloccare più cose di quelle che abbiamo fatto in questo tutorial per mantenere i tuoi computer interni al sicuro, cosa che puoi fare utilizzando lo strumento di configurazione eseguendo:

setup

per dire al firewall cosa bloccare. Una regola empirica è bloccare tutto e poi consentire solo ciò di cui hai bisogno, ma puoi leggere di questo altrove in modo approfondito se lo desideri.

Share: X/Twitter LinkedIn
#Firewall DHCP

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.