[Linuxtrent] Re: sicurezza DMZ (era switch vlan router linux)
- From: Zen <zen@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Fri, 4 Apr 2003 12:35:33 +0200
On Fri, Apr 04, 2003 at 08:24:46AM +0200, Andrea Ghirardini wrote:
> Cosa no! e perchè? L'unica cosa che fa il firewall è semplicemente fare
> il routing tra internet e le singole macchine. Le macchine in DMZ non
ma per vedere le singole macchine, se queste stanno ognuna su
una vlan diversa, il firewall deve avere la porta collegata allo
switch in trunk, no?
> si devono vedere tra loro. Oltretutto io faccio vlan "Port Based" e
> quindi se occupa di tutto lo switch senza dover ricorrere al tagging
> dei pacchetti.
questa parte mi sfugge...
O come il nostro amico metti una interfaccia del firewall nella
stessa vlan di ogni porta, oppure non capisco come funzioni :|
Per di piu`, come imposti l'indirizzamento ip su ogni macchina?
Perche` se in base alla netmask la macchina pensa che quella con
cui deve parlare sia sulla rete locale non manda mica il
pacchetto al firewall -- o fai proxy arp?
Se ti bucano poi una macchina, per sniffare la rete devono
mettere l'interfaccia in promiscuo: se e` uno switch, vedranno
solo il traffico di broadcast -- per vedere l'altro devi fare
spoofing sul mac-address, e sono d'accordo che se tutte le
macchine sono separate e` una tecnica inutile.
D'altra parte, se in dmz hai due macchine che per caso devono
parlare tra loro (un'application server e un db, per esempio),
allora tutto il traffico deve transitare per il fw , cosa che a
volte penso possa essere un bel collo di bottiglia.
ciao!
--
My home isn't cluttered; it's "passage restrictive."
zen@xxxxxxxxx . Geek . And proud of it .
http://www.kill-9.it/jargon/html/entry/zen.html
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: