[Tech] Firewall come ?

Marco Ermini markoer@firenze.linux.it
Lun 26 Nov 2001 15:28:28 CET 

On Thu, 22 Nov 2001 02:49:00 +0100
Christian Surchi <csurchi@mclink.it> wrote:

> On Thu, Nov 22, 2001 at 02:17:25AM +0100, Marco Ermini wrote:
> > > > Secondo me un firewall ha senso in una DMZ.
> > > 
> > > Cosa vuoi dire?
> > 
> > che se hai una dmz in cui metterlo, il firewall e' relativamente sicuro.
> 
> Per cui niente firewall per te senza una dmz?

per me e' utile una dmz, anche solo "logicamente". Una dmz la puoi anche
creare con una sola macchina e due schede di rete... basta che stiano su
subnet mask non visibili tra loro e ci sia un demone di routing su quella
macchina.


> > in ogni caso, le macchine che ti interfacciano con internet devono stare
in
> > una loro zona "privata" separata dalla rete interna tramite sia netmask
che
> > packet filtering (sono paranoico). Uno schema valido IMHO e' mettere una
nic
> > pubblica ed una privata su queste macchine. la nic pubblica e' visibile al
> > mondo tramite firewall/router, quella privata va sulla dmz. la dmz e'
separata
> > tramite routing/packet filtering dalla rete interna.
> 
> Cosa intendi per "le macchine che ti interfacciano con internet"? Parli
> di server di posta ad esempio? Se e' cosi', mi trovo molto d'accordo.

certo, server di posta, DNS, servizi LDAP pubblici, ecc. tutto quello che deve
essere visibile dall'esterno.


> > e' uno schema universalmente accettato/applicato. in teoria una macchina
> > dedicata a fare il firewall non ti serve se puoi usare dei router, usi dei
> > firewall se non hai un tale budget ;-)
> 
> Non sono molto d'accordo. Non vedo perche' tu debba *necessariamente*
> spendere di piu' per un router, se hai abbastanza soldi, invece di
> limitarti ad un semplice serverino che ti faccia da firewall.

Non voglio dire che devi buttare i soldi dalla finestra, ovviamente. Solo che
ci sono macchinette dedicate ed affidabili progettate per certi compiti, e se
te le puoi permettere, sicuramente adottare facilitera' la vita
dell'amministratore. Poi ciascuno usa quello che i suoi mezzi tecnici gli
fanno preferire: se ti senti piu' in grado di maneggiare un PC che non un
router, userai un PC ;-) per quanto ritenga che un amministratore che non sa
gestire un router... debba fare dei corsi ;-)


ciao

-- 
Marco Ermini
http://www.markoer.org
Perche' perdere tempo ad imparare quando l'ignoranza e' istantanea? (Hobbes)

Maggiori informazioni sulla lista flug-tech