[Linuxtrent] Re: Isolare tra loro pc della dmz
- From: Flavio Visentin <THe_ZiPMaN@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Fri, 13 Apr 2012 01:30:42 +0200
On 04/12/2012 09:05 PM, Nicola Ferrari wrote:
> I due server stanno sullo stesso switch ed hanno stessa classe di IP
> pertanto se mi autentico dall'esterno in SSH su www1 riesco a
> raggiungere anche www2.
Normale.
> Esiste un modo per far si che accedendo ad esempio a www1, questa
> macchina sia isolata dal resto della dmz, e quindi non possa raggiungere
> www2? Del resto non c'e' nessun motivo reale percui le due macchine si
> debbano tra di loro raggiungere.
Sì, agendo sullo switch e sul firewall.
> Immagino di dover lavorare sulla subnet mask...
No. Come detto dal mio omonimo uno si cambia la conf di rete e ti "frega".
> Se non ho capito male potrei usare la subnet /30 (255.255.255.252), e
> avrei 2 host per subnet. Percui avrei una situazione tipo
> 10.0.0.0/30 - indirizzo net - subnet 1
> 10.0.0.1/30 - server www1 - subnet 1
> 10.0.0.2/30 - non utilizzato - subnet 1
> 10.0.0.3/30 - indirizzo bcast - subnet 1
> 10.0.0.4/30 - indirizzo net - subnet 2
> 10.0.0.5/30 - server www1 - subnet 2
> 10.0.0.6/30 - non utilizzato - subnet 2
> 10.0.0.7/30 - indirizzo bcast - subnet 2
Hai le idee un po' confuse su cosa sia la netmask, come funzioni l'IP e
il subnetting.
Installati ipcalc che è ottimo per imparare.
> Ma il mio dubbio è.. poi come ci si deve comportare con il firewall?
Dovresti assegnargli più IP, quindi per esempio assegni il primo IP di
ogni netmask all'host e il secondo al FW .
10.0.0.1/30 www1
10.0.0.2/30 FW
10.0.0.5/30 www2
10.0.0.6/30 FW
> Immagino che la subnet non possa più essere definita come 10.0.0.0/24
> perchè ciò causerebbe dei problemi giusto?
Claro che sì. In realtà si possono in certi casi avere sistemi con
netmask diverse, ma non qui per quel che vuoi far tu.
> Faccio presente che non posso risolvere la questione con switch tipo
> Ovislink che fanno un isolamento "elettrico" tra gli hosts, perchè si
> tratta di host virtuali ospitati da un virtualizzatore, che appunto ha
> una scheda verso la rete dmz del firewall.
Se sono host virtuali allora hai poco da fare, a meno che lo switch
virtuale non supporti funzioni avanzate (p.es. il nexus 1000 su VMware o
forse anche openvswitch).
Una delle cose che puoi fare per tutelarti maggiormente è disabilitare
l'ARP e mettere ARP statiche su tutti gli host e sul firewall. In questo
modo perlomeno non avresti host che urlano il proprio IP sulla rete. In
alternativa crei reti differenti; se è un sistema virtuale creare vlan
distinte non ti costa nulla e le macchine risultano isolate.
--
Flavio Visentin
A computer is like an air conditioner,
it stops working when you open Windows
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
