[Tech] brirewall

Leonardo Boselli leo@dicea.unifi.it
Ven 30 Mar 2001 18:32:22 CEST 

No, mom ho scritto male ...
La applicazione che mi serve e` un bridge-firewall .
Problema: 
 (Internet)-[Router1]-[ReteProtetta]-[router2]-[RetePrivata]
Reteprotetta ha indirizzi pubblici e Reteprivata indirizzi privati.
Router2 ha le tabelle di routing settate in mamiera tale che solo 
alcune macchine di reteprotetta possano collegarsi a retprivata, e 
un paio di proxy per consentire l'accesso all'esterno o dall'esterno 
alle macchine di reteprivata.
Fin qui tutto regolare.
Su un server in RetePrivata gira un programma assolutamente non 
free. Di regola a questo server sono collegati alcuni client che per 
individuare il server fanno uso di messaggi broadcast. Questi 
ovviamente non passano il router.
problema: 3 macchine in reteprotetta debbono potere collegarsi a 
questo programma. Attraverso il router non passano. Per prova ho 
copllegatoi tramite uno switch le due rete, ancziché tramite router2 
e ho assegnato alle tre macchine un doppio indirizzo (su ambedue 
le reti) e in questo modo funzionano. 
La cosa che non funziona e`che in questo modo essendo le due 
sottoreti collegate, chiunque attacchi una macchina in reteprivata 
con un indirizzo appartenente a reteprotetta (e alcuni liberi ci sono 
in quanto appartengono a portatili che potrebbero essere assenti) 
ha accesso completo dentro e fuori.
In precedenza, per un caso simile (lo stesso programma, ma per 
altre macchine) era stato risolto montando una seconda scheda e 
portando un cavo con la seconda rete alle singole macchine.
Adesso non e` piu` possibile in quanto le tre macchine sono troppo 
lontane, e portare la connessione significherebbe dovere mettere 
anche 3 switch come ripetitori ($$$), d'altra parte nel cluster ci 
sono anche 3 macchine che debbono restare in reteprotetta per cui 
non e` neppure praticabile la opzione di mettere tutto sotto 
reteprivata.
Quello che servirebbe sarebbe una configurazione da mettere sulla 
macchine Router2 che permetta il passaggio di messaggi 
broadcast da rete protetta a reteprivata (le risposte poichésono 
indirizzate, passano comunque tramite il router con le 
corrispondenti tabelle di instradamento) .
Si può ???

Leonardo Boselli
nucleo informatico e telematico
Dipartimento Ingegneria Civile
Universita` di Firenze
V. S. Marta 3 - I-50139 Firenze
tel +39()0554796431 fax +39()055495333
http://www.dicea.unifi.it/~leo

Maggiori informazioni sulla lista flug-tech