Sanata ha scritto: [Computer in DMZ che vede tutta la rete]
E' normale o c'e' qualcosa che non va? Pare come se l'implementazione della DMZ sia stata fatta semplicemente come "port forwarding generale di default", e non come separazione delle reti!
Ho avuto la versione precedente di quel router e, se non ricordo male, per DMZ intendono un banale NAT 1:1 verso l'IP della LAN specificato.
Quindi direi che è normale.
Se fosse questo il caso (grave imho), c'e' speranza secondo voi, abilitando la modalita' telnet di debug del netgear ed agendo a livello di iptables da riga di comando, di inserire una regola che vieti a pippo di raggiungere tutti gli IP della lan? Voi come fareste?
Premetto che non ho mai provato a gestire il firewall del DG834 via telnet, ma la vedo abbastanza dura. In primis, non hai due interfacce separate per LAN e DMZ, visto che quello dietro il router è un banale hub. Inoltre, per poter dialogare col router, tutte le macchine collegate hanno necessariamente gli IP appartenenti a una stessa classe e in questo caso per parlare tra di loro dal router neanche ci passano.
E se quest'ultima evenienza e' fattibile, se nella lista degli IP da vietare includo anche l'ip del Netgear (in modo da vietare a pippo l'accesso al pannello di configurazione), impedirei a pippo di uscire verso l'esterno?
No, ma basta inserire una regola che vieti l'accesso in uscita dall'IP di pippo (192.168.0.2) verso qualsiasi destinazione sulla WAN. Però, se dichiari pippo come host in DMZ può darsi che quella regola, che permette per definizione l'uscita, abbia la precedenza sulle regole particolari.
Fai prima a provare che non a leggere questo messaggio. :-) -- Romano Romano Raven Consulting Strada degli Sminatori, 3 I-61100 Pesaro (PU) Mobile: +39.329.8986059
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
