R: [ml] Configurazione nuovo firewall

-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx]Per conto
di Corrado Castagna
Inviato: martedì 17 gennaio 2006 14.22
A: ml@xxxxxxxxxxxxx
Oggetto: [ml] Configurazione nuovo firewall
>1) E' possibile assegnare al server WEB uno degli indirizzi pubblici (ad
esempio x.x.x.61) ? Mi hanno
>detto di sì, e di inserirlo poi nella DMZ; ma DMZ ha
>una sottorete diversa....(10.10.10.1) ....

ahem .... credo tu debba leggerti un buon tutorial sul concetto di DMZ,
indirizzamento privato e aliasing :-)
A parte questo, è ovvio che che il tuo web server avrà effetivo IP nella
subnet che hai dato alla DMZ, 10.10.10.2 (ad esempio) e sarà presente un
alias che assegnerà l'indirizzo pubblico sulla WAN ; ci sarà poi una regola
di forwarding che farà il redirect di x.x.x.61 su 10.10.10.2 sulla DMZ per
la porta 80 o quel che è .


>2) Voglio poi poter accedere al server Web (manutenzione, modifiche del
sito, etc) anche dalla rete
>interna; immagino di dover utilizzare delle tabelle di
>routing ma non so bene come impostarle nel firewall. Qualcuno mi può fare
un esempio con gli indirizzi che ho indicato ?

E' il concetto di "pinholes" nella DMZ, cioè permettere di raggiungere dalla
LAN la DMZ (aprendo solo le porte opportune, ad esempio se lo amministri con
VNC la 5800,etc.etc.); devi consultare la tua documentazione per capire se
il routing tra l'interfaccia DMZ e LAN è attivo per default (ad esempio su
distro come IPCOP lo è), l'importante sono le regole per aprire le porte
necessarie, e solo quelle, dalla LAN alla DMZ .
Il concetto fondamentale della DMZ è che una connessione che comincia da lì
non debba MAI raggiungere la LAN, in modo che se il tuo server DMZ venga
compromesso non sarà comunque possibile far altri danni "sfondando" la LAN.
Diciamo che la connessione generata dalla LAN, se controllata(ad esempio
permettendo solo a una macchina amministrativa in LAN) e limitata alle porte
di gestione, è tollerata.


>3) Per quanto riguarda l'accesso all'altro server pensavo invece di
effettuare un "semplice" NAT; il
>firewall mi permette di definire degli alias per
>"mappare" un indirizzo pubblico in uno privato (eventualmente indicando
la/le singole porte interessate). Va bene così ? Avete qualche idea migliore
?

Si, metterlo in DMZ :-)
Se non è possibile, quella che hai indicato è la soluzione utilizzata
normalmente, e guarda caso è la stessa che ti serverà per l'alias del server
in DMZ.....



 
 
 --
 Email.it, the professional e-mail, gratis per te: http://www.email.it/f
 
 Sponsor:
 Ascolta le migliori suonerie per il tuo cellulare 
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=3113&d=19-1