-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Fri, Apr 04, 2003 at 08:24:46AM +0200, Andrea Ghirardini wrote:Cosa no! e perchè? L'unica cosa che fa il firewall è semplicemente fare
il routing tra internet e le singole macchine. Le macchine in DMZ non
ma per vedere le singole macchine, se queste stanno ognuna su una vlan diversa, il firewall deve avere la porta collegata allo switch in trunk, no?
1- 1-2 2- 1-3 3- 1-4
Perche` se in base alla netmask la macchina pensa che quella con cui deve parlare sia sulla rete locale non manda mica il pacchetto al firewall -- o fai proxy arp?
Se ti bucano poi una macchina, per sniffare la rete devono mettere l'interfaccia in promiscuo: se e` uno switch, vedranno solo il traffico di broadcast -- per vedere l'altro devi fare spoofing sul mac-address, e sono d'accordo che se tutte le macchine sono separate e` una tecnica inutile.
D'altra parte, se in dmz hai due macchine che per caso devono parlare tra loro (un'application server e un db, per esempio), allora tutto il traffico deve transitare per il fw , cosa che a volte penso possa essere un bel collo di bottiglia.
############################ Andrea "Pila" Ghirardini ############################ CEO Pila's Security Services -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (Darwin)
iEYEARECAAYFAj6NYqsACgkQ99/KQPj2cRNM9gCfQY8HpOTi+XTj5GKBnLPcIqka Y+UAmwUrODamMq0eUmQKRG4CLff848o9 =KTQ4 -----END PGP SIGNATURE-----
-- Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx