NAT vs. Socks, round 2 (was: esiste un proxy UDP decente per linux?)

[socks]

> Daccordo che e' molto fico come protocollo perche' proxa qualsiasi
> cosa, e che lo puoi mettere su una macchina che non fa' forwarding, ma
> e' pur sempre un'applicativo.

Su questo hai perfettamente ragione: e' pur sempre un'applicavo! Con tutte
le coseguenze di caduta dei processi, oltre ad eventuali sporchissimi
zombie nel caso la connessione non venga terminata correttamente (eh, si',
ha 'sto vizio su Slowlaris), senza contare che gira nello userspace invece
che nel kernelspace (dico cavolate ??)

Quello che mi piace invece e' il fatto di poter controllare facilmente la
porta in ingresso sull'interfaccia privata (solo 1080/tcp), poter solo
fare binding su quest'ultima e avere una situazione pulita
sull'interfaccia esterna. Se poi aggiungi una bella "farcitura" con un
IOS-FW interno ed esterno, IMHO crei una bella gatta da pelare a chi
vuole "provarci" ...;-)

Sicuramente NAT e' la cosa migliore per le DMZ e quel traffico dove le
performance sono essenziali, anche se non disdegnerei di usare IP
pubblici sulla DMZ. Voi cosa ne pensate ???? 

Una volta un mio cliente molto sgamato mi ha detto di volere usare IP
pubblici sui load balancer, di impostare su questi il forward del
pacchetto anziche' il route (??) e associare *lo stesso* ip
sull'interfaccia di loopback delle macchine. Ammetto la mia ignoranza sui
balancer, ma secondo voi questo da valore aggiunto alla sicurezza ??? Il
fatto e' che comunque con questa tecnica non c'e' routing esplicito tra
una subnet pubblica e privata, ha senso ????

A tutto questo mi viene da dire: 'mbuto, tantissimi 'mbuti!!! 
Ma soprattutto, chi e' stato il primo a inventare gli 'mbuti ???

Ciao ciao,

	Gippa



P.S. Koba, se non mi tagli questa mail, potrei quasi volerti bene :-)))))


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List