Configurare un server virtuale casalingo in DMZ

Molti di noi si saranno trovati, almeno una volta, a volere disporre di un servizio privato, come può essere di hosting (pensiamo alle password che vogliamo avere con noi anche in mobilità), o un piccolo demone per BitTorrent gestibile all’esterno della nostra rete, o magari un sito internet a costo zero e perfino un servizio di posta elettronica.

Ognuno di questi servizi che ho elencato dovranno per l’appunto girare su un computer, fisico o virtuale che sia, che essendo raggiungibile da tutta la rete sarà soggetto a possibili attacchi di hacker.

Un buon grado di sicurezza ottenibile con pochi sforzi, quindi perfetto per essere impostato anche nella nostra rete domestica, è rappresentato da un server virtuale posto in una DMZ, de-militarized zone, cioè una sottorete esposta alla rete pubblica dalla quale non è possibile raggiungere la rete LAN privata ma che, magia delle magie, è raggiungibile dalla LAN. In sostanza tra DMZ e LAN abbiamo un collegamento unidirezionale.

Il motivo del server virtuale è presto detto: non c’è bisogno di dedicare un computer intero per un solo scopo, e si introduce un ulteriore isolamento, in questo caso non con la rete ma coi file: un server virtuale è facilmente backuppabile, replicabile, annullabile… la flessibilità è massima.

Requisiti

  • Un router configurabile, in questo caso uno qualunque con installato OpenWrt o LEDE
  • Una macchina Windows Professional 64-bit con installato Hyper-V Manager (è possibile utilizzare Linux ma per il momento focalizziamoci su Windows)

Per impostare la DMZ con OpenWrt ci avantaggeremo di LuCI, l’interfaccia web, così da evitare il terminale.

Andando in Network → Switch, vediamo che di  default abbiamo due VLAN.

La numero 2 lasciamola stare perché è quella predefinita per la WAN.

Creiamone una nuova e impostiamo su tagged la CPU e la porta alla quale è connessa la macchina host che farà girare la macchina virtuale (badate che di solito le porte sono contate da destra a sinistra); allo stesso modo impostiamo su tagged la stessa porta nella VLAN 1. “tagged” significa che i pacchetti da e verso quella porta avranno nella loro intestazione il numero di VLAN, mentre intuitivamente le porte “untagged” sono porte che non trasportano alcuna informazione sulla LAN virtuali.
Salvate ma non applicate le modifiche, altrimenti perderete connettività con le macchine connesse alla porta tagged prima che abbiate impostato Hyper-V.

Veniamo ora alla definizione dell’interfaccia della DMZ. Spostiamoci in Network → Interfaces e creiamone una nuova.

Il nome è a piacere, il protocollo dovrà essere un indirizzo statico con IP 192.168.x.1, dove con “x” intendiamo un numero che non sia di una sottorete già in uso, e subnet mask 255.255.255.0. Tra le interfacce VLAN disponibili scegliamo quella creata in precedenza.

Creiamo anche una nuova zona del firewall con nome a piacere, la imposteremo tra poco.

Ancora una volta salvate ma non applicate le modifiche perché lo faremo tutto in una volta a procedura ultimata.

In Network Firewall, andiamo a modificare le impostazioni della zona appena creata.

Clicchiamo su "Edit" e impostiamo, nell'ordine, Reject, Accept e Reject nei primi campi che vediamo nella pagina.

Tra le "Covered networks" deve esserci solo la DMZ, mentre per le altre due ultime categorie impostiamo prima la WAN e poi la LAN.

Salvate, e una volta tornati alla pagina precedente andate a modificare la zona della LAN (normalmente è la prima della lista) e mettete tra "Allow forward to destination zones" anche la DMZ, insieme alla WAN che dovrebbe essere già spuntata.


Ancora un ultimo passo e con il router abbiamo finito: dobbiamo permettere al firewall di accettare le richieste da parte delle macchine in DMZ di DNS e DHCP. Spostatevi nella scheda "Traffic Rules" del firewall e create, sotto la categoria "Open ports on router", prima la regola del DHCP in questo modo:

La porta è appunto la 67 UDP.
La stessa cosa andrà fatta per le porte DNS, ma in questo caso sarà la 53 sia TCP e UDP.

Create una nuova regola con esattamente gli stessi parametri, salvo per la porta.

Bene, il router  è a posto. Salvate e applicate le impostazioni e non preoccupatevi se non riuscirete più a connettervi alla rete.

Tenete questa pagina aperta e tutto andrà per il meglio.
Passando al discorso macchina virtuale, assicuratevi di avere Hyper-V Manager attivo, lo potete attivare dal Panello di Controllo, dove disinstallate i programmi.

Sulla sinistra avrete una voce che permette di attivare altre funzionalità Microsoft, cliccate e scegliere dall’elenco Hyper-V. Attenzione che l’attivazione comporta il riavvio del computer e perciò perderete questa pagina, scegliere voi il metodo che vi è più comodo per continuare a leggere la guida.
Da Hyper-V Manager, sulla destra, troviamo un link chiamato Gestione commutatori virtuali (una pessima traduzione per “switch”). Clicchiamo e ci troveremo di fronte una finestra come questa:

Creiamo un nuovo commutatore virtuale esterno a cui assegnarlo l’ID VLAN 1, che intendifica appunto la vostra LAN.

Create adesso una nuova macchina virtuale, a cui assegnerete l’unico virtual switch disponibile che è appunto quello che avete appena confermato. Una volta fatto navigate verso le impostazioni della VM e impostate l’ID VLAN 3, che identifica la rete DMZ:

Ed è tutto!

Vi invitiamo a partecipare al topic ufficiale dell’articolo sul forum, in cui potete scrivere anche in caso di dubbi o domande.

Copyright 2017 Tutti i diritti riservati.
La presente guida non può essere copiata, modificata, distribuita, con alcun mezzo senza l’esplicita autorizzazione dell’autore e dello staff de ilpuntotecnicoeadsl.com

One Response to Configurare un server virtuale casalingo in DMZ

  1. natalinux ha detto:

    ottimo lavoro complimenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*