[Primipassi] firestarter+perché filtro la LAN

Aldo Podavini a.podavini@mclink.it
Mar 23 Mar 2004 21:02:14 CET 


Manuel Toniato wrote:

>>Ovviamente se usi il proxy devi aprire la porta del proxy... anche se 
>>francamente non capisco cosa te ne freghi di configurare un firewall 
>>sulla LAN interna, ti basta configurarlo verso l'esterno.
>>    
>>
>
>Ehm... Non ditemi che ho fatto tutto questo casino per niente...
>L'idea è che gli utenti dell'aula informatica possano solo navigare e al massimo scaricare file via FTP (evitando possibilmente i file exe, per evitare schifezze sui pc windows). Quindi io filtro le richieste dall'interno. No? Anche perché la rete interna dovrebbe essere già abbastanza protetetta dal mondo esterno visto che c'è un firewallsul serverone del comune.
>
>Un utente dell'aula non dovrebbe poter aprire nessuna comunicazione con i pc della rete del comune, questo è l'importante.
>  
>

Anche in questo caso l'ambiguità nasce dalla confusione tra INPUT e FORWARD.
Le richieste di INPUT sono quelle *DIRETTE* verso il tuo server, sia che 
provengano dall'interno che dall'esterno, non quelle che lo *ATTRAVERSANO*
Chiaro ?
Quando Marco dice "non capisco cosa te ne freghi di configurare un 
firewall sulla LAN interna" intende che le richieste provenienti dalla 
rete interna *DIRETTE* verso il tuo server non dovrebbero preoccuparti 
molto, o comunque meno di quelle - sempre *DIRETTE* verso il tuo server 
- provenienti dalla rete esterna.
(peraltro fino ad ora tu non hai mai fatto distinzione tra provenienza 
interna e esterna, cosa che invece andrebbe valutata per prima).

La tua finalità di impedire ai tuoi utenti di prendersi brutte malattie 
nel mondo esterno è lodevole, anche se (come già ti dissi e come mi pare 
tu abbia ormai compreso) è più una questione di proxy che di firewall.

Però mi pare che la faccenda si stia allargando... alla fine forse ci 
converrebbe scrivere un bell'HowTo su come configurare e proteggere una 
piccola rete semi-domestica (ma sono certo che ne esistano già a 
migliaia)  ;-)

Ciao
Aldo

>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        smime.p7s
Tipo:        application/x-pkcs7-signature
Dimensione:  3060 bytes
Descrizione: S/MIME Cryptographic Signature
URL:         <http://lists.linux.it/pipermail/primipassi/attachments/20040323/69cd5b7c/attachment.bin>

Maggiori informazioni sulla lista primipassi