dmz, ip pubblici?

Salve a tutti,
vi pongo una questione... ho consultato l'archivio dei vecchi messaggi e
non vi ho trovato risposta.
L'azienda in cui lavoro vuole aggiungere un firewall alla rete; abbiamo
diversi servizi per i quali dobbiamo garantire l'accesso da internet e
per questo motivo il consulente esterno che sta seguendo la cosa ha
proposto la tipica configurazione a tre gambe, con una macchina linux
che separi rete esterna, lan e dmz.
Qual'e' la questione? Abbiamo un range di 16(14) ip pubblici, ma il
consulente vorrebbe usarne solo uno sul firewall, lasciare tutti gli
altri inutilizzati, assegnare ip privati sulla dmz e girare le
connessioni con nat e port forward.
Non e' piu' corretto, avendo tutti questi ip pubblici a disposizione,
assegnare indirizzi pubblici alla dmz, implementare il filtraggio nella
chain forward di iptables ed eseguire un normale routing?
In questo modo il filtraggio avverrebbe lo stesso, ci risparmieremmo di
riconfigurare i dns (visto che tutti i servizi esterni dovrebbero
apparire sullo stesso ip) ed elimineremmo nat... evitandoci i problemi
che nat comporta con i protocolli meno comuni e forse anche un leggero
incremento della latenza rispetto ad un normale routing.
Ho l'impressione che il consulente voglia "imporre" una configurazione
standard perfetta per chi ha un solo ip pubblico, ma castrante per chi
ne ha molti.
Qual'e' secondo voi l'implementazione piu' corretta?



bye, sergio - icq uin 15624010
 never understimate the bandwidth
 of a station wagon full of tapes


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List