Hello Giovanni,
Wednesday, July 6, 2005, 11:45:35 AM, you wrote:
GC> La situazione in realtà è così fatta:
GC> internet - router - VPN server (pubb) - |-- terminal server (ip priv.)
GC> | |-- terminal server (ip priv.)
GC> | |-- database server (ip priv.)
GC> | |-- database server (ip priv.)
GC> |
GC> |
GC> 8<-------------RESTO DELLA RETE (ip pubb. rimanenti)-------------
GC> (qua stanno altri pc con ip pubblico di cui non me ne frega nulla
GC> in quanto non sono nostri ma sono di quelli che hanno avuto la bella
GC> idea di sistemare il resto della rete così...)
GC> ---------------------------------------------------------------
Ok, quindi le tue macchine windows hanno ip privati, suppongo.
In questa configurazione usare iptables sul concentratore VPN e` la
soluzione migliore, senza dubbio.
il concentratore VPN fa da GW per la rete win con ip privati, fa nat per
consentire a questi di vedere internet se serve, fa da firewall per non
fare entrare nulla tranne cio` che serve.
E` una cosa mediamente semplice, vista cosi`, da fare con iptables e nulla
di piu`.
Io non conosco alcun "prodotto" firewall, che sia una appliance o un
qualche script che poi si appoggia a iptables, ma uso iptables "a mano"
per tutte le mie installazioni, e questa vista cosi` come e` adesso sembra
relativamente semplice.
Tieni conto che i servizi che pubblichi direttamente (ssh e terminal
server) anche se li metti su una porta non standard non sono molto piu`
sicuri di quanto lo sarebbero su una porta standard. Ergo, va bene ssh che
tutto sommato e` solido (ssh2) e lo usano tutti. Va meno bene terminal
server, specie visto che mi hai detto che le macchine non possono essere
patchate. Se esiste un solo bug noto di terminal server, sei esposto.
Dovresti magari limitare l'accesso a quella porta (quando non passi dalla
VPN) ad indirizzi IP noti (i clienti che non possono fare altro) e
statici.
Con iptables una cosa cosi` si fa con 30 righe di regole.
--
Fabio "Kurgan" Muzzi
La diagnosi del tecnico:
Poi il fatto che lo strato bizlogic si connetta con un utente con grant
limitati
sulle viste e` un discorso di granularita`.
|