[Pluto-security] Soluzione per una rete

Dido pluto-security@lists.pluto.linux.it
Tue, 29 Oct 2002 00:03:44 +0100


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> Devo appunto metter su una rete di dimensioni molto limitate:
> ----> 3 client e una mini-DMZ: server di POSTA [ imap-smpt ]
> un WebServer che faccia anche da FTP, ( eventuale DNS ancora da stabilire )
>
> Stavo pensando a 2 schemi del genere :
>
> - [router]----[linux-FW] ----> e da qui poi con 2 schede,
> creare due reti separate, una per la lan e una per la DMZ.
<snip>
> Domande:
> 1- viste le dimensioni della cosa, pensate che possa andare oppure fa
> letteralmente schifo, oppure consigliate soluzioni diverse, magari piu'
> snelle e piu' gestibili !

Personalmente, io credo che la cosa migliore sia  sempre far fare le cose a 
ciò che meglio conosci! Mi spiego: io di router so sicuramente meno di quanto 
non sappia di iptables, per cui il lavoro grosso lo faccio fare a linux!
Io ti consiglio una macchina con 3 sk di rete, una verso il router, una verso 
la LAN e una per la DMZ... e la rete con il router la farei con una subnet 
mask "stretta", es /28.


> 2- una cosa alla quale ancora non ho trovato risposta chiara: le macchine
> che compongono la DMZ possono ed eventualmente è preferibile che abbiano
> indirizzi privati, oppure è meglio assegnare direttamente indirizzi
> pubblici ???

Il NAT non va considerato una protezione, ma in ogni caso io prediligerei IP 
privati per ogni macchina in DMZ (ovviamente in subnet differente dalla LAN), 
e il linux che fa snat/dnat. Certo è che bisogna poi vedere che tipo di 
configurazione ti ritrovi sul router....

Ciao!
- -- 
- -------------------------------------
Dido

PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9vcJTQe/GGXXd6zQRAjqnAJ9fmi9Y++zut2Innn0/M+uD2HVPEACdGFO/
lnRpOGeAFNzVz5+6ZtT2FOo=
=5F/2
-----END PGP SIGNATURE-----