[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2002 ml@sikurezza.org Soggetto: Re: Interbusiness e checkpoint: svarioni Mittente: Francesco Toscan Data: 23 Apr 2002 21:15:43 -0000
> Allo stato delle cose tu hai una DMZ con indirizzamento A, e una > "inside", la tua lan, con indirizzamento B. Si.. [...] > In sostanza, la DMZ e' "protetta" dal Fw, ma sfondata quella a > patto di trovare gli indirizzi della inside(*) non c'e' piu' nulla > in mezzo. Esattamente. Fra DMZ e LAN non c'e' assolutamente piu' nulla in mezzo. Presa una macchina in DMZ e' tranquillamente possibile aggredire la LAN, sempre trovando gli indirizzi privati, cosa che come hai giustamente detto non e' un problema. Se, viceversa, tenti di connetterti dalla LAN alla DMZ e Checkpoint e' configurato in modo da nattare le connessioni uscenti dalla LAN, "prevale" NAT e raggiungerai la DMZ con l'IP pubblico del firewall. Nel caso in cui invece non sia previsto NAT, il comportamento e' lo stesso della situazione DMZ-->LAN: completa liberta' di connessione dalla LAN verso la DMZ. [prove di poco fa] Tentando di riassumere: net address dmz ipotetico: 1.2.3.0/24 net address lan ipotetico: 192.168.0.0/24 Ipotizzando di prendere 1 workstation in lan ed 1 server in dmz: DMZ (1.2.3.4) --> LAN (192.168.0.3) [la connessione riesce] LAN (192.168.0.3) -> NAT (1.2.3.1) -> DMZ (1.2.3.4) [la connessione riesce e questo puo' anche starmi bene] LAN (192.168.0.3) --> DMZ (1.2.3.4) [la connessione riesce] Mesti saluti, F. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005