Firewall
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Mer 20 Feb 2002 17:35:37 UTC
> >
> be', magari deve solo permettere ai lavoratori di navigare e di rendere
> il server web accessibile, mentre deve filtrare tutto il resto...
>
Certo... tu hai ragione, ma e' bene evitare il comune errore di
confondere NAT e FW... sebbene le due operazioni si trovino piu'
o meno allo stesso livello e vengano gestite mediante la medesima
interfaccia (iptables) sono concettualmente diverse:
uno richiede la riscrittura dei pacchetti (NAT, transparent proxying, etc.)
l'altro la filtratura e l'eventuale notifica.
Resta il fatto che se si vuole SOLO permettere agli utenti all'interno
della rete di navigare in rete via web ma evitare altre attivita', allora
non c'e' affatto bisogno di un nat: basta mettere un proxy http sulla
macchina `di confine' e il giuoco e' fatto!
L'esigenza di bloccare le connessioni dall'esterno verso l'interno e'
piuttosto ridotta in questi giorni di VPN... il processo inverso
risulta ancora piu' facile: e' abbastanza non dare una defaultroute e
fare il proxy locale di tutti i servizi che servono (dns e http, di
norma)...
Ciao,
lg
--
Maggiori informazioni sulla lista
Lug
|