Re: [ml] la dove i sitemi liberi continuano cisco si ferma?

On Thu, 2005-06-09 at 19:18 +0200, SKAL wrote:
> Il caso in questione e' sorto analizzando una cosa abbastanza banale.
> date due reti A e B connesse tra loro come segue
> 
> rete A 10.210.210.0/24  --- firewall cisco pix --- rete b 192.168.1.0/24
>
> il pix naturalmente ha due indirizzi 10.210.210.1 e 192.168.1.1
> 
> 
> Dato un server ftp nella rete B con indirizzo 192.168.1.2
> 
> 
> Vorrei configurare il pix in modo che una qualunque macchina presente 
> sulla rete A possa fare ftp verso il server della rete B con il comando
> 
> $ ftp 10.210.210.1
> 
> questi miei amici mi hannno detto che con i pix non e' possibile 
> farlo.... che ci vuole un bilanciatore... ecc...

un bilanciatore per bilanciare il traffico diretto ad *un solo server*
in effetti e' uno scenario interessante. eventualmente se implementa
anche funzioni di fail-over e' possibile, una volta che l'host e'
fallito, riprovare a contatrlo per sicurezza ;P

sul pix puoi ottenere questo (accesso ftp) definendo prima il nat nel
modo corretto:

access-l inside_nonat 192.168.1.0 255.255.255.0 10.210.210.0
255.255.255.0
nat (inside) 0 access-l inside_nonat

o se vuoi fingere di essere su internet:

access-l inside_nat 192.168.1.0 255.255.255.0 any
nat (inside) 10 access-l inside_nat
global (outside) 10 interface

deciso come gestire gli indirizzi un semplice:

fixup protocol ftp 21

abiliterà la possibilità di gestire l'ftp attivo dalla rete "interna" a
quella "esterna".
se il livello di sicurezza e' rovesciato (la rete A e' inside) stai
facendo una cosa "brutta" ma due access-list in croce fanno tutto e
bene.

per cortesia fatti spiegare meglio dai tuoi amici le utilità introdotte
dal bilanciatore, perche' magari e' a me che sfugge qualcosa ;P

> Premesso che i pix non li conosco assolutamente, mi e' sembrato strano 
> che una cosa che con poche istruzioni su di un fw BSD/linux non si possa 
> fare su di una macchina che coste divere migliaia di euro...

come dice il buon marco ... se vuoi un 535 in failover parli del costo
di una autovettura di classe B ma se parli di un 501 ... stiamo davvero
parlando di prodotti soho ...

un mayhem che non bisogna mai ascoltare gli "amici" ;P
-- 
A condom is the glass slipper for our generation. You slip one on when
you meet a stranger. You "dance" all night, and then you throw it away.
The condom, I mean, not the stranger.
https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057

Attachment: signature.asc
Description: This is a digitally signed message part