Re: [rlug] solutie firewall acelasi clasa ip-uri /24

Wed, 22 Jul 2015 08:44:53 -0700 

On Tue, 21 Jul 2015, [email protected] wrote:

> Vreau sa implementez o solutie de firewall intre anumite hosturi din
> aceeasi clasa de IP-uri /24, acelasi VLAN
> Nu doresc sa modific arhitectura routingului in retea sau configuratia de
> retea/firewall local al celorlalte hosturi.
>
> Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri
> care sa se comporte ca si proxy arp?

        Nu poti face proxy arp pentru IP-uri din acelasi subnet. Sa zicem 
ca un host vrea sa ajunga la un IP dintr-un subnet care e de cealalta 
parte a routerului care stie proxy arp, atunci merge pentru ca routerul va 
fi singurul care va raspunde.
        Dar in cazul tau la orice arp request routerul nu va raspunde 
pentru ca acel subnet e configurat pe interfata dinspre host.
        Deci orice implica proxy arp pica.

        Daca switchurile pe care le ai sint fara management sau nu stiu de 
access list-uri per port atunci nasol, dar cel mai eficient e sa pui 
access list-uri pe port.
        Altfel singura solutie viabila (si de cacat in acelasi timp, dar 
si problema e una la fel) ar fi sa spargi grupele de hosturi in cite este 
nevoie in functie de tipul de protectie de care au nevoie si sa conectezi 
switchurile (read VLAN) lor intr-un bridge linux care e suficient de 
flexibil sa te lase sa faci ce vrei. Evident va trebui sa dezactivezi 
spanning tree-ul (lucru pe care de obicei il percep ca pe o problema) 
pentru ca atunci cind switchurile vor vedea pe VLAN X chestii de STP 
pentru VLAN Y lucrurile s-ar putea s-o ia suficient de razna incit sa-ti 
urasti profund jobul si dozatorul de cafea de la secretariat.

        Toate cele de mai sus in premisa ca tu vrei sa impiedici hosturile 
din acest acelasi subnet/vlan sa se conecteze unul la altul in anumite 
conditii. Daca tot ce vrei este o protectie din exterior pentru aceste 
hosturi din acelasi subnet din spatele routerului atunci pui firewall pe 
router si limitezi ce vrei si cum vrei.

-- 
I'm a genuine network and sys admin.
I swear, I curse, I stick my dick into things in order to fix them.
So don't ack like you're having a bad day with me around,
'cause I'll have fix to you and will not be able to fight it!
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug

Raspunde prin e-mail lui