[Tech] problema di inserimento altri utenti
alessio chemeri
alessio.chemeri@gmail.com
Lun 23 Apr 2007 16:46:22 CEST
ciao,
forse ho capito quale e' la situazione ma vediamo un po':
Hai la necessita' di definire IP fidati (gruppo1)e IP non fidati (gruppo2)
hai un Gateway in grado di fare da firewall (ComputerA)
Se hai uno switch di quelli "grossi" (tipo i procurve o altre cose che hanno la
possibilita' di definire aree separate per porte specifiche) ti potrebbe
anche bastare 1 scheda di rete sul computer A (se ben ricordo, o al massimo 2)
se invece lo switch che hai non ha modo di fornirti separazioni nella
rete una soluzione
sbrigativa potrebbe essere quella da te prospettata (e forse anche la
migliore schematicamente :D ) cioe'
Router
^
|
ComputerA (Gateway e Firewall)
| |
| +--- Rete1 (fidata)
+--- Rete2("infida")
Il Dhcp server lo istruisci ad avere due scope differenti uno per
quelli che si affacciano
dalla Rete1 e uno per quelli dalla Rete2
Il firewall lo istruisci a trattare differentemente le due Reti
credo che il tutto dovrebbe funzionare.
Nei casi simili che ho avuto pero' avevo una situazione simile ma non
troppo... infatti
i fidati erano o IP fissi (fuori scope) o riconoscibili dal MAC address
****** AVVISO CONTROPOLEMICA******(non era un accesso
WI-FI per le malelingue pronte a saltarmi sulla gola :D e se qualcuno
riusciva a collegare il
pc in azienda o nelle sedi remote e a fingere il MAC di qualcuno
"fidato" i problemi a quel
punto erano maggiori delle mie capacita' di sorveglianza.. e che
cazz.. mica devi fronteggiare
l'eefffebiaaaiii)******FINEAVVISO*******
mentre gli infidi erano IP assegnati dal dhcp in uno scope preciso
che subivano poi il
peggiore dei trattamenti "retici"
Il 22/04/07, Francesco<frannafilisa@libero.it> ha scritto:
> Sun, Apr 22, 2007 at 11:17:50AM +0200, Leandro Noferini ha scritto:
> > alessio chemeri ha scritto:
> >
> > Partecipo anch'io perché sono coinvolto nell'argomento posto da
> > Francesco.
> >
> >
> [...]
> >
> > > potresti forzare i loro IP in determinati sottorange (dividere cioe'
> > > la sottorete in due?)e metterli anche sotto lo stesso switch,
> > > definendo poi regole specifiche di trattamento
> > > nel firewall Y.
> > > Questo pero' non so se risponde a quanto hai richiesto o se ho capito bene cosa
> > > vuoi fare :D
> >
> > Hai azzeccato esattamente il problema con una piccola aggiunta: ci sono
> > due gruppi di ip, il primo sono quelli fidati (che adesso passano
> > attraverso il computer A dello schemettino) e quelli non fidati (i quali
> > invece passano direttamente dal router - che poi sarebbe la connessione
> > ad internet). I due gruppi non sono conosciuti a priori ma
> > l'assegnazione degli ip avverrebbe via con il dhcp.
questo complica la cosa, forse e' proprio necessario quello che dicevi te,
cioe' la separazione fisica e le 3 schede di rete, perche' almeno hai modo
di riconoscere per forza l'origine degli accessi, altrimenti non saprei come
fare per le regole del firewall, a meno di non usare un proxy con regole
legate all'utente che si "logga"
> >
> > Per questa ragione l'idea sarebbe quella di dotare il computer A di tre
> > schede di rete e trasformare lo schema di sopra nel seguente.
> >
> > internet
> > |
> > |
> > Gateway (già computer A)
> > | |
> > | |
> > fidati non fidati
> >
> > Questo è il sistema più consono per una cosa del genere?
> >
>
> allora visto che Leandro ha spiegato un po' meglio di me aggiungo:
>
> ho preso uno switch e ho connesso una mia macchina allo switch
> che usciva ed andava la Gateway con linux visto che era già tutto
> settato si è connesso (ma in questo caso diventava fidato)
> con un sistema operativo diverso (Win XP) non vedeva niente...
> perciò mi domando perchè con un sistema chiuso non prende il dhcp...
no aspetta.. il dhcp client di xp funziona bene, magari pero' era settato come
NON attivo, prova a spegnere e riaccendere (AHAHAHA scusa..non ho resistito),
no prova a vedere se hai il dhcp client disattivato e poi fai il
reload della richiesta.
> la prima risposta che mi viene in mente e che dhclient non da' il dhcp
> in automatico perché non è fisso giusto o no?
magari ha un ip fisso settato.
Alessio
Maggiori informazioni sulla lista
flug-tech