Allego una prima bozza dello script per il firewalling di Torretta V2. Mancano la gestione degli icmp e altre cazzate.
On Sun, Jan 14, 2007 at 06:29:43PM +0100, os.necro@gmail.com wrote:
Allego una prima bozza dello script per il firewalling di Torretta V2. Mancano la gestione degli icmp e altre cazzate.
domanda: che utilita' ha una dmz per una realta' come quella del circolab? mi spiego meglio: esistono dati sensibili nella lan tali per cui ha senso impedire la comunicazione internet->lan ? Non ne esistono ma si pensa potra' succedere?
p.g.: (proposta gratuita) www.shorewall.net, giusto come consiglio invece che scriversi le regole a mano (poco gestibile in caso di fw complessi IMO) p.p.g: (post proposta gratuita) linksys wrt54gl + openwrt : 200Mhz cpu mips, 4Mb flash, 16Mb di ram, 5 eth (in realta' una, ma supporto vlan hw), 1 wifi, etc per una settantina di eur -> giocattolo molto carino
ciao, Francesco
On Sun, Jan 14, 2007 at 08:21:34PM +0100, pivi@pivistrello.it wrote:
domanda: che utilita' ha una dmz per una realta' come quella del circolab?
risposta corta nessuna, risposta lunga per proteggere gli utenti del circolab che utilizzano la navigazione gratuita :)
p.g.: (proposta gratuita) www.shorewall.net, giusto come consiglio invece che scriversi le regole a mano (poco gestibile in caso di fw complessi IMO)
vero, comunque lo script e' da considerarsi come una "linea guida"
p.p.g: (post proposta gratuita) linksys wrt54gl + openwrt : 200Mhz cpu mips, 4Mb flash, 16Mb di ram, 5 eth (in realta' una, ma supporto vlan hw), 1 wifi, etc per una settantina di eur -> giocattolo molto carino
non credo che risponda ai requisiti del circolab, con una sola porta come puo' evitare che un computer cambi indirizzo ip e finga di appartenere ad un altra vlan?
On Sun, Jan 14, 2007 at 10:40:04PM +0100, os.necro@gmail.com wrote:
On Sun, Jan 14, 2007 at 08:21:34PM +0100, pivi@pivistrello.it wrote:
domanda: che utilita' ha una dmz per una realta' come quella del circolab?
risposta corta nessuna, risposta lunga per proteggere gli utenti del circolab che utilizzano la navigazione gratuita :)
nahh .... e' solo uno smaronamento gratuito ....
p.p.g: (post proposta gratuita) linksys wrt54gl + openwrt : 200Mhz cpu mips, 4Mb flash, 16Mb di ram, 5 eth (in realta' una, ma supporto vlan hw), 1 wifi, etc per una settantina di eur -> giocattolo molto carino
non credo che risponda ai requisiti del circolab, con una sola porta come puo' evitare che un computer cambi indirizzo ip e finga di appartenere ad un altra vlan?
na, non mi sono spiegato. questo oggetto *ha* 5 porte eth, solo che sono gestite da un componente esterno, dal punto di vista pratico non cambia nulla a meno che non si voglia implementare 802.1q.
seconda cosa le vlan sono cose a livello 2, non centrano nulla con il livello ip (livello 3).
Ciao, Francesco
On Sun, Jan 14, 2007 at 10:53:21PM +0100, pivi@pivistrello.it wrote:
seconda cosa le vlan sono cose a livello 2, non centrano nulla con il livello ip (livello 3).
Una VLAN _puo'_ essere implementata su una solo porta eth attraverso un assegnazione come membro di una vlan a seconda dell'ip (layer 3) o del mac address (layer 2) (semplcimente viene fatta un analisi dei pacchetti)
na, non mi sono spiegato. questo oggetto *ha* 5 porte eth, solo che sono gestite da un componente esterno, dal punto di vista pratico non cambia nulla a meno che non si voglia implementare 802.1q.
l'idea non e' male (almeno per provare qualcosa di nuovo) ma non vedo ancora quali sarebbero i vantaggi di un WRT54GL + OpenWrt rispetto a un Torretta, e poi bisogna valutare gli scarsi fondi del circolab :(
On Mon, Jan 15, 2007 at 12:38:56AM +0100, os.necro@gmail.com wrote:
On Sun, Jan 14, 2007 at 10:53:21PM +0100, pivi@pivistrello.it wrote:
seconda cosa le vlan sono cose a livello 2, non centrano nulla con il livello ip (livello 3).
Una VLAN _puo'_ essere implementata su una solo porta eth attraverso un assegnazione come membro di una vlan a seconda dell'ip (layer 3) o del mac address (layer 2) (semplcimente viene fatta un analisi dei pacchetti)
ohi ... due reti IP diverse su una singola rete fisica non centrano nulla con le vlan ... E quando si devono trasportare diverse vlan su un singolo link fisico si usa 802.1q (escludendo la roba proprietaria cisco), nulla a che vedere con l'analisi dei mac address ..
ancora quali sarebbero i vantaggi di un WRT54GL + OpenWrt rispetto a un
nessun vantaggio particolare, solo un giocattolo
On Mon, Jan 15, 2007 at 01:05:19AM +0100, pivi@pivistrello.it wrote:
ohi ... due reti IP diverse su una singola rete fisica non centrano nulla con le vlan ...
Si' ( infatti se guardi la configurazione di torretta la separazione tra WLAN e LAN era fatta tramite l'assegnazione di due indirizzi diversi alla stessa interfaccia fisica)
E quando si devono trasportare diverse vlan su un singolo link fisico si usa 802.1q (escludendo la roba proprietaria cisco), nulla a che vedere con l'analisi dei mac address ..
Si' anche qui, se una vlan e' distribuita su piu' switch si usa il 802.1q che semplicemente aggiunge 4byte per indicare la vlan..
I metodi per determinare l'appartenenza ad una vlan sono diversi, dal classico caso in cui viene determinata a seconda della porta dello switch fino al caso in cui viene determinata dal mac della scheda ( con i suoi vantaggi e svantaggi : esempio se sposto un portatile da un parte all'altra di un lan non devo riconfigurare la vlan)
On Mon, Jan 15, 2007 at 01:26:08AM +0100, os.necro@gmail.com wrote:
On Mon, Jan 15, 2007 at 01:05:19AM +0100, pivi@pivistrello.it wrote:
ohi ... due reti IP diverse su una singola rete fisica non centrano nulla con le vlan ...
Si' ( infatti se guardi la configurazione di torretta la separazione tra WLAN e LAN era fatta tramite l'assegnazione di due indirizzi diversi alla stessa interfaccia fisica)
questa configurazione non sta implementando nessuna vlan ...
cmq vabbe, non ci tengo a fare un discorso infinito sulle vlan, mi cagano gia' il cazzo al lavoro abbastanza al riguardo ;)
ciao, Francesco
On Mon, Jan 15, 2007 at 08:56:47AM +0100, pivi@pivistrello.it wrote:
questa configurazione non sta implementando nessuna vlan ...
Infatti era quello che cercavo di dire: semplicemente Torretta _NON_ implementa nessuna vlan, la "separazione" tra la LAN e la WLAN viene fatta mappando due interfacce virtuali sulla stessa interfaccia fisica. Scusa, mi sembrava di essere stato chiaro :(
p.s. il gardalug ha ancora delle magliette "tux" nere avanzata dal linux day 2006?
On Sun, Jan 14, 2007 at 08:21:34PM +0100, pivi@pivistrello.it wrote:
On Sun, Jan 14, 2007 at 06:29:43PM +0100, os.necro@gmail.com wrote:
Allego una prima bozza dello script per il firewalling di Torretta V2. Mancano la gestione degli icmp e altre cazzate.
domanda: che utilita' ha una dmz per una realta' come quella del circolab? mi spiego meglio: esistono dati sensibili nella lan tali per cui ha senso impedire la comunicazione internet->lan ? Non ne esistono ma si pensa potra' succedere?
dmz? a parte che non ho ancora ben capito io che cos'e', ma forse la nostra non e' nemmeno una dmz ma un server su una sottorete diversa, tutto qui.
la cosa utile e' quella di avere server e macchine x gli utenti locali su sottoreti diverse in modo che le seconde possano raggiungere il primo mediante routing (eventualmente pilotato da torretta) e non con le maialate che erano state fatte prima ( SNAT e DNAT di tutti i pacchetti che arrivano dalle macchine utente e diretti a uno degli innumerevoli indirizzi ip di laundry { 10.0.0.253, 81.174.26.44} )
-
marco ghidinelli -
os.necro@gmail.com -
pivi@pivistrello.it