On Fri, Apr 04, 2003 at 08:24:46AM +0200, Andrea Ghirardini wrote: > Cosa no! e perchè? L'unica cosa che fa il firewall è semplicemente fare > il routing tra internet e le singole macchine. Le macchine in DMZ non ma per vedere le singole macchine, se queste stanno ognuna su una vlan diversa, il firewall deve avere la porta collegata allo switch in trunk, no? > si devono vedere tra loro. Oltretutto io faccio vlan "Port Based" e > quindi se occupa di tutto lo switch senza dover ricorrere al tagging > dei pacchetti. questa parte mi sfugge... O come il nostro amico metti una interfaccia del firewall nella stessa vlan di ogni porta, oppure non capisco come funzioni :| Per di piu`, come imposti l'indirizzamento ip su ogni macchina? Perche` se in base alla netmask la macchina pensa che quella con cui deve parlare sia sulla rete locale non manda mica il pacchetto al firewall -- o fai proxy arp? Se ti bucano poi una macchina, per sniffare la rete devono mettere l'interfaccia in promiscuo: se e` uno switch, vedranno solo il traffico di broadcast -- per vedere l'altro devi fare spoofing sul mac-address, e sono d'accordo che se tutte le macchine sono separate e` una tecnica inutile. D'altra parte, se in dmz hai due macchine che per caso devono parlare tra loro (un'application server e un db, per esempio), allora tutto il traffico deve transitare per il fw , cosa che a volte penso possa essere un bel collo di bottiglia. ciao! -- My home isn't cluttered; it's "passage restrictive." zen@xxxxxxxxx . Geek . And proud of it . http://www.kill-9.it/jargon/html/entry/zen.html -- Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx