DMZ pubblica o privata?

[morenz]

Ciao a tutti,
mi trovo a dover creare una DMZ nella mia infrastruttura di rete, per via di tutti i problemi che possono nascere quando i server sono nella stessa sottorete dei client ed escono dallo stesso IP...

Premesso che, visti i fondi (paria zero o quasi) e il traffico (abbastanza basso), il firewall sarà software (pensavo una macchina linux, distro da decidere tra IPCOP o una distro Debian con IPTables), la domanda è semplice:

Abbiamo 2 server (web, 2003sbs e mail, Debian... non mi chiedete il perché, è così e devo farmene una ragione) da mettere in DMZ e, avendo 8 IP pubblici assegnati, Voi la DMZ la fareste ad indirizzamento pubblico o privato? Perché?

Grazie per l'attenzione,
Morenz

[zot]

E' nato prima l'uovo o la gallina??
Scherzi a parte alla tua domanda non c'è risposta ameno che uno non sappia precisamente quel'è la tua infrastruttura e ,soprattutto, quali possono essere gli sviluppi futuri.
In linea di massima ben venga spostare su un'altra rete i server ma,ti sconsiglio di asssegnarli IP pubblici e buttarli su internet...dovresti preoccuparti di configurare,patchare.....e vedo che hai sia linux che windows.
Visto che nomini IPCOP e poi salti ad IPTABLES ti consiglio di chiarirti bene le idee perchè sono anni luce distanti sia per difficoltà d'implementazione che per efficacia.
Mi sento di consigliarti la cosa più semplice che conosco :monowall :firewall efficace e semplice,gli metti 3 schede di rete ,1 per il lato WAN,una per LAN e una per la rete dei SERVER.LA pubblicazione dei vari servizii dei vari Server la fai tramite NAT.
Se hai già un router CISCO ,in base al modello,potresti già fare tante cose..se non ce l'hai...potrebbe essere la scusa per iniziare....con un 1801 ci fai praticamente tutto quello che chiedi.

[Wizard]

Io direi i server dovranno avere IP privati poi fai i nat e le acl sul firewall per le porte che ti interessano!

Così è un po' tanto + sicuro!

[andrewp]

IP privati sicuramente....perchè? Perchè a costo 0, da barboni, gli IP privati sono GRATIS!!!

[morenz]

Ciao,
innanzituto grazie per le risposte, vengo a rispondervi ad uno ad uno

@zot: La rete è composta da 10 client (tutti XP SP2) e 3 server (2 linux, ossia mail e file, il il Windows per il Web, che fa anche da domain controller). Ho abbastanza chiara la differenza tra ipcop e iptables e, ovviamente, propenderei per la seconda, ma sarà il tempo a mia disposizione che mi farà decidere. Tengo assolutamente in conto di vedere monowall (anzi, ora ci faccio un salto... ).
Abbiamo un Cisco SOHO97, acquistato nel lontano 2004 che per ora lavora egregiamente (peccato però non riesca ad applicare i PDLM per fare blocchi a emule, etc, per via dell'IOS vecchio), di cambiare x ora non se ne parla, siamo in ristrettezze economiche...

@wizard: credo seguirò quel consiglio, visto che tra l'altro è stato unanime...

@andrea: Lo so che gli IP privati sono gratis, ma noi al momento ne abbiamo 8 (e ne usiamo 3, uno per navigazione e uno per server), e usarli o no li paghiamo (e se li dismettiamo, son di nuovo traslochi di IP da fare e bestemmie col mantainer...), quindi se potevano venirmi utili così bene, se no stanno lì, un domani che saremo una multinazionale ci verranno utili...

Grazie e ciao,
Morenz

[zot]

Cosa più semplice che viene in mente:
Sul Cisco usi nat 1:1 per ip pubblico-->ip privati in classe A,dove la classe A è quella di cui fanno parte i server e l'interfaccia lato WAN del firewall per la tua rete interna.
Il firewall avrà l'interfaccia LAN su classe B .I client all'interno dell'interfaccia LAN del firewall avranno ovviamente come gateway l'IP LAN del firewall.
Per quanto riguarda la sicurezza dei Server potresti lavorare su ACL e firewall del SOHO 97(magari fai una Smartnet da 100€ e scarichi IOS aggiornata).
Così facendo divideresti le reti della LAN e dei Server entrambi protetti da funzionalità Firewall.
L'unico problema che potresti avere e quello di raggiungere i servizi offerti dai Server tramite dns pubblici,non dovresti avere problemi se invece li richiedi tramite gli IP Classe A dei Server(male che va.visto che sono 10 PC potresti editare il file host di Windows).
Continuo a consigliarti monowall per fare da firewall.
Ciao.

[morenz]

Ciao,

il tuo discorso NAT 1:1 è precisamente quello che ho in mente di fare.

La tua paura relativamente ai servizi dei server non è fondata (o io non ho capito il punto), in quanto già ora ho il 2003SBS che fa da DNS locale e ho assegnato dei nomi locali ai server (ad esempio il sito web lo raggiungiamo con www-sito-com), e tale cosa continuerà ad essere valida, solo che il DNS sarà su un'altra sottorete, ma non importa.

Monowall? Ho già iniziato a configurarlo..... )

Riguardo al cisco... propongo al boss la spesa e vediamo quanto storce il naso...

Grazie
Morenz

[zot]

Usando il 97 anche come firewall ti consiglio vivamente di aggiornare la IOS...se punti web o mail da dentro con un dns diverso dal pubblico,non avrai problemi.

[zot]

IP privati sicuramente....perchè? Perchè a costo 0, da barboni, gli IP privati sono GRATIS!!!

W il PAT!!!

[zot]

Ho scritto Classe A..B giusto per intendere "due reti differenti"....

[zot]

Giusto poco fa mi sono imbattuto in questa piccola guida..se la strada che hai scelto la percorrerai con monowall,potrebbe eserti utile per evitarti di convincere il Boss a "sperperare" soldi per agg IOS

http://doc.m0n0.ch/handbook/examples-fi ... ridge.html

[morenz]

Ciao,
M0n0wall? Mi sono innamorato...
Ho iniziato a fare un po' di pratica su un pc su cui ho montato 3 schede di rete prese dal solaio (10 Mbps, una delle quali ancora con l'RG58...)

Man mano che mi dedico ad una parte vedo di prendere la confidenza necessaria, in attesa che arrivi un "carciofone" (AMD K6-2 500 MHz con 128MB di RAM) settimana prox con 3 schede di rete gigabit e che voglio mettere in piedi il prima possibile. A tal proposito, il link che mi hai passato, benché sia "dalle parti" che sto visitando, non lo avevo ancora guardato.... bookmarkato per prossima navigazione.

Riguardo i soldi da sperperare, oggi il mio boss voleva spendere parecchie centinaia di euro per upgradare Visual Studio 2005 dalla Express (gratuita ma limitata -- ma non troppo per le nostre esigenze) ad una versione superiore... Io gli ho detto che piuttosto di sprecare soldi in VS 2005, che va bene così com'è, spendiamone 100 all'anno per la Cisco e stiamo aggiornati con le IOS e quanto le riguarda... L'ho visto annuire a mezza bocca....

Grazie per le dritte,
Morenz
piesse: rigaurdo A e B avevo capito che non erano classi di indirizzamenti... una rete 10.0.0.0/8 per 10 host era quantomeno fuori luogo... già sto largo su una 192.168.1.0/24....