straluna wrote: > On Thu, 10 Feb 2005 11:20:32 +0100 > Marco <[EMAIL PROTECTED]> wrote: > >> la prima soluzione mi pare pi� logica ed ordinata ma vorrei avere >> conferme da >> voi... > > ciao, secondo me dovresti dare qualche info in piu' (se lo credi > opportuno) in relazione alla topologia e ai servizi.
okkei...provo ad essere + chiaro ! dietro il firewall in questione abbiamo due mail server e quattro server web. Come tipologia di traffico direi che almeno il 70 - 80 % proviene dalla LAN stessa (parlo della rete di una universit�) Abbiamo a disposizione due classi tipo 100.100.100.0/24 e 100.100.105.0/24 e gli stessi server sono divisi tra le due classi...un router non gestito da noi si occupa di routare il traffico tra i due segmenti E' scontata l'utilit� di avere indirizzi ip contigui ma il mio dubbio � se non sia meglio utilizzare IP privati dietro il firewall con indirizzi compatibili con quello dell'interfaccia privata del firewall stesso e lasciare a lui i compiti di instradamento necessari esempio server 1: 192.168.1.1 netmask 255.255.255.0 server 2: 192.168.1.2 netmask 255.255.255.0 ecc.. scheda di rete "privata" del firewall: 192.168.1.254 netmask 255.255.255.0 > > Nel senso, per fare quello che vuoi va gia' bene il proxy-arp che usate > ora, ma anche NAT 1:1, come proponevi, o un firewall-bridge vanno > benissimo (so che c'e' chi storcera' il naso per il filtering a > layer2:-). > > Stando solo a quello che hai detto fossi in te manterrei il proxy-arp > (che forse ti costa meno tempo di riorganizzazione). > Per tornare alla tua domanda iniziale, non vedo differenze di > prestazioni ne' di sicurezza (il NAT non l'aumenterebbe come ben sai) > _per come hai descritto la situazione_. secondo caso: utilizzo ip pubblici dietro l'interfaccia ad ip privato del firewall es: server 1: 100.100.100.1 netmask 255.255.255.0 server 2: 100.100.105.2 netmask 255.255.255.0 ecc.. scheda di rete "privata" del firewall: 192.168.1.254 netmask 255.255.255.0 probabilmente la mia � una pippa mentale...ma visto che comunque il firewall si deve occupare dell'instradamento dei paccheti il proxy arp non diventa un passaggio in pi� giustificato solo dalla volont� di utilizzare ip pubblici dietro un firewall ?? Inoltre questa configurazione permette una gestione pi� razionale del numero di indirizzi IP che tra l'altro cominciano a scarseggiare... Spero di aver dato qualche info in pi�....aspetto pareri !!!! grazie marco > > Poi, personalmente, preferisco usare gli ip pubblici se ce n'e' a > sufficienza...ma de gustibus. > > ciao, > a. > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
