On 04/12/2012 09:05 PM, Nicola Ferrari wrote: > I due server stanno sullo stesso switch ed hanno stessa classe di IP > pertanto se mi autentico dall'esterno in SSH su www1 riesco a > raggiungere anche www2. Normale. > Esiste un modo per far si che accedendo ad esempio a www1, questa > macchina sia isolata dal resto della dmz, e quindi non possa raggiungere > www2? Del resto non c'e' nessun motivo reale percui le due macchine si > debbano tra di loro raggiungere. Sì, agendo sullo switch e sul firewall. > Immagino di dover lavorare sulla subnet mask... No. Come detto dal mio omonimo uno si cambia la conf di rete e ti "frega". > Se non ho capito male potrei usare la subnet /30 (255.255.255.252), e > avrei 2 host per subnet. Percui avrei una situazione tipo > 10.0.0.0/30 - indirizzo net - subnet 1 > 10.0.0.1/30 - server www1 - subnet 1 > 10.0.0.2/30 - non utilizzato - subnet 1 > 10.0.0.3/30 - indirizzo bcast - subnet 1 > 10.0.0.4/30 - indirizzo net - subnet 2 > 10.0.0.5/30 - server www1 - subnet 2 > 10.0.0.6/30 - non utilizzato - subnet 2 > 10.0.0.7/30 - indirizzo bcast - subnet 2 Hai le idee un po' confuse su cosa sia la netmask, come funzioni l'IP e il subnetting. Installati ipcalc che è ottimo per imparare. > Ma il mio dubbio è.. poi come ci si deve comportare con il firewall? Dovresti assegnargli più IP, quindi per esempio assegni il primo IP di ogni netmask all'host e il secondo al FW . 10.0.0.1/30 www1 10.0.0.2/30 FW 10.0.0.5/30 www2 10.0.0.6/30 FW > Immagino che la subnet non possa più essere definita come 10.0.0.0/24 > perchè ciò causerebbe dei problemi giusto? Claro che sì. In realtà si possono in certi casi avere sistemi con netmask diverse, ma non qui per quel che vuoi far tu. > Faccio presente che non posso risolvere la questione con switch tipo > Ovislink che fanno un isolamento "elettrico" tra gli hosts, perchè si > tratta di host virtuali ospitati da un virtualizzatore, che appunto ha > una scheda verso la rete dmz del firewall. Se sono host virtuali allora hai poco da fare, a meno che lo switch virtuale non supporti funzioni avanzate (p.es. il nexus 1000 su VMware o forse anche openvswitch). Una delle cose che puoi fare per tutelarti maggiormente è disabilitare l'ARP e mettere ARP statiche su tutti gli host e sul firewall. In questo modo perlomeno non avresti host che urlano il proprio IP sulla rete. In alternativa crei reti differenti; se è un sistema virtuale creare vlan distinte non ti costa nulla e le macchine risultano isolate. -- Flavio Visentin A computer is like an air conditioner, it stops working when you open Windows -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx