erlug
[Top] [All Lists]

Re[2]: [Erlug] Linux in routing - Risposta Cumulativa

To: Giovanni Caruso <erlug@xxxxxxxxxxxxxx>
Subject: Re[2]: [Erlug] Linux in routing - Risposta Cumulativa
From: Fabio Muzzi <kurgan@xxxxxxxxxx>
Date: Wed, 6 Jul 2005 12:04:45 +0200
Hello Giovanni,
Wednesday, July 6, 2005, 11:45:35 AM, you wrote:


GC> La situazione in realtà è così fatta:
GC>   internet - router - VPN server (pubb) - |-- terminal server (ip priv.)
GC>                 |                         |-- terminal server (ip priv.)
GC>                 |                         |-- database server (ip priv.)
GC>                 |                         |-- database server (ip priv.)
GC>                 |
GC>                 |
GC> 8<-------------RESTO DELLA RETE (ip pubb. rimanenti)-------------
GC> (qua stanno altri pc con ip pubblico di cui non me ne frega nulla
GC> in quanto non sono nostri ma sono di quelli che hanno avuto la bella
GC> idea di sistemare il resto della rete così...)
GC> ---------------------------------------------------------------

Ok, quindi le tue macchine windows hanno ip privati, suppongo.

In  questa  configurazione  usare  iptables  sul  concentratore  VPN e` la
soluzione migliore, senza dubbio.

il  concentratore  VPN fa da GW per la rete win con ip privati, fa nat per
consentire  a  questi  di vedere internet se serve, fa da firewall per non
fare entrare nulla tranne cio` che serve.

E` una cosa mediamente semplice, vista cosi`, da fare con iptables e nulla
di piu`.

Io  non  conosco  alcun  "prodotto"  firewall,  che sia una appliance o un
qualche  script  che  poi si appoggia a iptables, ma uso iptables "a mano"
per tutte le mie installazioni, e questa vista cosi` come e` adesso sembra
relativamente semplice.

Tieni  conto  che  i  servizi  che  pubblichi direttamente (ssh e terminal
server)  anche  se  li metti su una porta non standard non sono molto piu`
sicuri di quanto lo sarebbero su una porta standard. Ergo, va bene ssh che
tutto  sommato  e`  solido  (ssh2) e lo usano tutti. Va meno bene terminal
server,  specie  visto che mi hai detto che le macchine non possono essere
patchate.  Se  esiste  un  solo  bug noto di terminal server, sei esposto.
Dovresti  magari limitare l'accesso a quella porta (quando non passi dalla
VPN)  ad  indirizzi  IP  noti  (i  clienti  che  non possono fare altro) e
statici.


Con iptables una cosa cosi` si fa con 30 righe di regole.


-- 

 Fabio "Kurgan" Muzzi 

La diagnosi del tecnico:
   Poi il fatto che lo strato bizlogic si connetta con un utente con grant 
limitati 
 sulle viste e` un discorso di granularita`.


<Prev in Thread] Current Thread [Next in Thread>