Re: sub-subnetting

On Wed, Oct 31, 2001 at 10:52:23PM +0100, Luca Salvini wrote:
> Ciao a tutti,
> sono alle prese con un problemino che mi lascia perplesso:
> un cliente ha una cdn con 16 ip statici e vorrebbe installare un firewall 
> basato su Linux (netfilter o ipchains) in modo che gli ip rimangano 
> pubblici (senza masquerading) e quindi ho pensato di nattare il tutto in 

se proprio vuoi subnettare ricorda che puoi solo dividere la tua /28
in due parti quindi due /29 da otto ip ciascuna (ancora divisibili per 2)
questo non e' molto conveniente.

ho dei seri dubbi sulla fattibilita' della /31 proposta da qualcuno :)

per essere chiari: ci sono due casi

hai il controllo del router:
----------------------------
puoi usare ip privati tra il router e il firewall, cosi' risparmi
indirizzi (si fa schifo ma lo fanno cani e porci)

subnetti, ma vedi i dubbi all'inizio.

non hai il controllo del router:
--------------------------------
come hanno detto molti un bridge con il frame diverter
anche se preferisco operare a layer 3 che a layer 2.

oppure fai in modo che il firewall faccia proxy-arp
per le macchine dall'altro lato (non e' necessario che il firewall
abbia un ip valido dal lato router, o che ce l'abbia affatto) (*)

infine dai a tutte le macchine all'interno ip di rete privata,
e fai static nat sul firewall (credo sia la cosa migliore, e ha
l'innegabile vantaggio che quando cambi provider non devi
rinumerare gli host)

L.
(*) e se taroccassimo ip_tables per mandare i reject col source address
= al dest address del pacchetto da respingere?

-- 
Luca Berra -- bluca@comedia.it
        Communication Media & Services S.r.l.
 /"\
 \ /     ASCII RIBBON CAMPAIGN
  X        AGAINST HTML MAIL
 / \

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List