[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Dicembre 2002 ml@sikurezza.org Soggetto: Re: Routing Asimmetrico Mittente: Federico Lombardo Data: 24 Dec 2002 11:07:15 -0000
Io ho fatto da circa un mese il passaggio da un ISP all'altro. Ora penso che prima di tutto per venirti meglio incontro più che raggiungibilità degli indirizzi dobbiamo parlare di "raggiungibilità dei servizi". Tu vuoi che i servizi sia accessi da entrambe le classi di indirizzi giusto ? Io ho agito in questo modo: Ho aggiunto momentaneamente un altro firewall affianco al firewall-internet aziendale, in modo che potesse gestire entrambe le connettività. Quindi ho avuto il firewall-internet di produzione che chiameremo A ed il firewall d'appoggio per il passaggio che chiameremo B. per B, ho utilizzato un normalissimo PC, dato che è soltanto un servizio d'appoggio, ma tu puoi valutare la cosa in base alle tue esigenze. Sul Firewall A, il default GW è naturalmente il router dell'ISP nuovo, sul FW B il router vecchio ISP. Dato che i server si trovano all'interno di una DMZ, mi sono limitato a fare del NAT dalle due macchine, ci ha pensato il connection tracking dei firewall a fare il resto senza troppe menate. Baci, Federico. ----- Original Message ----- From: "Daniele Besana" <daniele@itvirtualcommunity.net> To: "SIKUREZZA" <ml@sikurezza.org> Sent: Saturday, December 21, 2002 1:23 PM Subject: Routing Asimmetrico > Ciao a tutti, > considerate questo caso: > sopponiamo che ho la necessità di cambiare provider e indirizzi IP. > Durante la transizione voglio la raggiungibilità di vecchi e nuovi > indirizzi, quindi ho il mio firewall che riceve il traffico dai 2 router dei > provider e che ha come default gateway solo il router del nuovo ISP. > Questo è routing asimmetrico, il traffico entra da un router ed esce > dall'altro, il firewall è statefull ma abbastanza intelligente da permettere > al traffico di uscire da una interfaccia diversa (quella del gateway) da > quella di ingresso senza problemi. > Bene, supponiamo che vengo a scoprire che i router dei provider hanno delle > ACL per inoltrare solo il traffico proveniente dalla classe assegnata. > Supponiamo che lo facciano per non trasportare il traffico altrui (anche se > il routing è solo in base alla destinazione!) > Supponiamo anche che i provider non si dimostrano collaborativi e non > vogliono muovere un dito. > Supponiamo anche che il firewall non supporta il source routing. > Dopo tutte queste supposte ;-))) le domande sono precise: > - è giusto che un ISP applichi questi filtri? > - è normale che un ISP applichi questi filtri? > - il source routing è l'unica via d'uscita? > - ma possibile che ce ne sia sempre una???? ;-) > > In fondo non mi pare che sia una problematica così trascendentale... > Grazie e Auguroni! > > --- > Daniele Besana - ICQ 21963839 > IT Virtual Community > www.itvirtualcommunity.net > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005