Re: [ml] Dubbio implementazione DMZ su Netgear DG834 V3

Sanata ha scritto:

[Computer in DMZ che vede tutta la rete]
> E' normale o c'e' qualcosa che non va? Pare come se l'implementazione
> della DMZ sia stata fatta semplicemente come "port forwarding generale
> di default", e non come separazione delle reti!

Ho avuto la versione precedente di quel router e, se non ricordo male, 
per DMZ intendono un banale NAT 1:1 verso l'IP della LAN specificato.
Quindi direi che è normale.

> Se fosse questo il caso (grave imho), c'e' speranza secondo voi,
> abilitando la modalita' telnet di debug del netgear ed agendo a livello
> di iptables da riga di comando, di inserire una regola che vieti a pippo
> di raggiungere tutti gli IP della lan? Voi come fareste?

Premetto che non ho mai provato a gestire il firewall del DG834 via 
telnet, ma la vedo abbastanza dura.
In primis, non hai due interfacce separate per LAN e DMZ, visto che 
quello dietro il router è un banale hub.
Inoltre, per poter dialogare col router, tutte le macchine collegate 
hanno necessariamente gli IP appartenenti a una stessa classe e in 
questo caso per parlare tra di loro dal router neanche ci passano.

> E se quest'ultima evenienza e' fattibile, se nella lista degli IP da
> vietare includo anche l'ip del Netgear (in modo da vietare a pippo
> l'accesso al pannello di configurazione), impedirei a pippo di uscire
> verso l'esterno?

No, ma basta inserire una regola che vieti l'accesso in uscita dall'IP 
di pippo (192.168.0.2) verso qualsiasi destinazione sulla WAN.
Però, se dichiari pippo come host in DMZ può darsi che quella regola, 
che permette per definizione l'uscita, abbia la precedenza sulle regole 
particolari.
Fai prima a provare che non a leggere questo messaggio. :-)

--
Romano Romano

Raven Consulting
Strada degli Sminatori, 3
I-61100 Pesaro (PU)

Mobile: +39.329.8986059