In data martedì 17 novembre 2009 20:29:40, Samuele Zanin ha scritto: [...] > si equivalgono direi che ci può stare. Se invece è 10 volte più > probabile che mi buchino vmware piuttosto che il firewall allora il > discorso cambia.
Sicuramente è più probabile, ma se pensi di riuscire a star dietro veramente alle patch allora secondo me - da come lo descrivi - è un rischio che puoi correre. > Da quello che ho capito, i pacchetti dati di una vm in lan che deve > comunicare con la vm in dmz, seguono questo percorso: > vminlan -> vmnetlan -> eth0 su vmware -> interfaccia lan su firewall > esterno -> interfaccia dmz su firewall esterno -> eth1 su vmware -> > vmnetdmz -> vmindmz. Cioè uscire da una porta e rientrare dall'altra? Nope. E' tutto in-memory. Che poi sia o meno un problema dipende dall'architettura, tutto sommato qui potrebbe non esserlo. > Se io rimuovo l'indirizzo ip/disabilito il tcp sulla eth1, ammesso che > non buchino vmware, come è possibile raggiungere dalla vm in dmz l'host? > Se si mi sfugge qualcosa. Tra 6 ore ho la presentazione ;-) In linea di massima comunque no, hai ragione . se l'IP non c'è non c'è. -- Claudio Criscione Secure Network S.r.l.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
