Re: NAT vs. Socks, round 2 (was: esiste un proxy UDP decente per linux?)

On Fri, Jul 27, 2001 at 07:55:06PM +0200, Giuseppe Paterno' wrote:
> Sicuramente NAT e' la cosa migliore per le DMZ e quel traffico dove le
> performance sono essenziali, anche se non disdegnerei di usare IP
> pubblici sulla DMZ. Voi cosa ne pensate ???? 
La nat NON e' una feature di security, anche se qualcosina aggiunge.
La nat permette semplicemente di avere maggiore flessibilita' nell'organizzare
le reti ma aggiunge anche pesanti problemi di compatibilita' con alcuni
protocolli.
> 
> Una volta un mio cliente molto sgamato mi ha detto di volere usare IP
> pubblici sui load balancer, di impostare su questi il forward del
> pacchetto anziche' il route (??) e associare *lo stesso* ip
> sull'interfaccia di loopback delle macchine. Ammetto la mia ignoranza sui
> balancer, ma secondo voi questo da valore aggiunto alla sicurezza ??? Il
> fatto e' che comunque con questa tecnica non c'e' routing esplicito tra
> una subnet pubblica e privata, ha senso ????
Non e' una questione di security, ma e' per fare il cosidetto "local
triangle", per cui il traffico in ingresso passa attraverso i Load Balancer,
mentre il traffico in uscita va' direttamente verso internet, senza
appesantire quindi il lavoro dei Load Balancer che potra' sopportare carichi'
molto elevati.
Ho potuto vedere questa soluzione su Load Balancer Radware.

Saluti

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List