[Tech] La mia idea del FW

Marco Ermini markoer@firenze.linux.it
Gio 22 Nov 2001 01:10:03 CET


On Tue, 20 Nov 2001 23:27:31 +0100
"Leonardo Boselli" <leo@dicea.unifi.it> wrote:

> Dopo le discussioni con LG esprimo le mie idee
> (usare spaziatura NON proporzionale per leggere)
> 
>   [Internet]
>        |
>    [router]
>        |
>    ----+----------------------------------------
>    |  |  |  |    |    |      |      |   |      |
>   A1 A2 A3 A4 .. An   |      |      |   S1 ... Sn
>                       |      |      |
>                      SG1    SG2    SGn
>                      |||    |||    |||
>                      xxx    yyy    zzz
> 
> Allora vediamo un po`:
> A1...An sono le macchine [i cui amministratori] 
> sono ritenute[i] affidabili. Quindi non passano 
> attraverso alcun FW

errore gravissimo ;-)

non per sfiducia intrinseca: puoi anche rendergli internet disponibile al 100%
tramite NAT, ma un firewall glielo devi mettere davanti *perlomeno in
ingresso*.


> S1...Sn sono i server che si spera siano ben 
> amministrati (altrimenti avrei altri motivi da 
> preoccuparmi) e anch'essi sono fuori del FW

ahi ahi ahi


> SG1...SGn Sono i server di gruppo con due porte: 
> Una sulla rete pubblica, l'altra su un hub a cui 
> e`collegata una sottorete privata. 
> Ogni gruppo di lavoro avrebbe uno o piu`di 
> questi server sul quale farebbe girare tutte le 
> applicazioni server (principalmente file sharing 
> /ftp/http/condivisione stampanti e qualche 
> applicativo database). A questo punto nessuna WS 
> avrebbe directory condivise e/o servizi 
> accessibile dall'esterno.
> L'accesso all'esterno avverrebbe attivando il 
> masquerading [e cosi`recupererei anche degli 
> indirizzi ...].

corretto. tieni comunque presente che per recuperare indirizzi puoi anche
usare CIDR


> In questo modo la gestione delle macchine 
> interne (indicate con xxx ... zzz) sarebbe 
> lasciato ai singoli utenti, quelli meno 
> affidabili, sicuri che casini non ne dovrebbero 
> combinare.

...se non sulle proprie macchine. Domanda: devi essere tu a riparare ad
eventuali casini?....


ciao

-- 
Marco Ermini
http://www.markoer.org
Perche' perdere tempo ad imparare quando l'ignoranza e' istantanea? (Hobbes)




Maggiori informazioni sulla lista flug-tech