Dmz: si o no?

[Umbe]

Ciao a tutti...ho circa 15 pc in rete, pdc nt4, router cisco adsl (ho 8 ip
statici ma ne uso 1) che natta sul webserver ed email server interno (stesso
pc con smtp, pop3, e web).
Ho deciso di cambiare ed installare ipcop.
Mi consigliate o meno la dmz ( da usarsi ovviamente col web&mail server)
oppure è meglio farsi un semplice port forwarding che natti dritto dritto
dalla red al pc in questione(che sarebbe quindi sulla green)?(cosi' dice di
fare il manuale).Il server web è solo html, niente asp,php,java,xml o
amenicoli del genere....
Inoltre pensavo di fare cosi' (considerando la possibilità di usare la
orange) ditemi se secondo voi è ok:

Green=192.168.0.254 / 255.255.255.0 (ovviamente la mia lan sarà
192.168.0.X/ 255.255.255.0)
Orange=192.168.1.254 / 255.255.255.0 (ovviamente il web&mail server sarà
192.168.1.X / 255.255.255.0)
Red=192.168.2.254 / 255.255.255.0 (ovviamente il router sarà
192.168.2.X/255.255.255.0)

A questo punto vorrei che :
da internet (red) si comunicasse col web&mail server (sulla orange)
dalla lan (green) si comunicasse col web&mail server (sulla orange)
devo fare il port forwarding su tutto? oppure c'e' qualcosa che già si vede?
Scusate per la lunghezza e grazie 1K a chi mi risponderà
Umbe

[ishka]

Umbe ha scritto:

> Mi consigliate o meno la dmz?

La risposta non e' semplice. Personalmente dopo un uso di dmz per circa
14 mesi ho imparato a configurare le porte.
Dipende da che os hai dietro, se hai un win allora evita il dmz come la
peste, se hai linux ci puoi fare un pensierino.

[AM Liapunov]

ishka wrote:
> Dipende da che os hai dietro, se hai un win allora evita il dmz come la
> peste, se hai linux ci puoi fare un pensierino.

Scusa se mi inserisco... perchè con win la dmz è da evitare?

[Umbe]

"ishka" <is...@nomail.org> ha scritto nel messaggio
news:ce9cq6$afv$1...@atlantis.cu.mi.it...

> La risposta non e' semplice. Personalmente dopo un uso di dmz per circa
> 14 mesi ho imparato a configurare le porte.
> Dipende da che os hai dietro, se hai un win allora evita il dmz come la
> peste, se hai linux ci puoi fare un pensierino.

Intanto grazie per la risposta, pero' non decidero' in base ai so che ci
saranno dietro-davanti o a lato di IpCop.
Volevo solo sapere se secondo voi è auspicabile avere una Orange che non
genererà mai per prima traffico sulla Green.
Il traffico tra Green ed Orange sarà sempre generato in prima battuta sempre
dalla Green (client mail o richiesta web).
Da quello che ho capito la orange è consigliabile solo se c'e' la necessità
di generare traffico che PARTE PER PRIMO dalla Orange verso la Green.
Ho capito male o cosa?
grazie!
Umbe

[fabio]

Umbe ha scritto:

io userei una dmz.. non ci vuole nulla a configurare ipcop in tal senso..

l'unica scocciatura è la modifica dei file hosts dei client interni (se
usi un dns tuo basta modificare quello) per far puntare i record a dei
tuoi domini sulla classe ip della zona smilitarizzata.

> Da quello che ho capito la orange è consigliabile solo se c'e' la
necessità
> di generare traffico che PARTE PER PRIMO dalla Orange verso la Green.

la dmz serve per proteggere la tua rete interna nel caso qualcuno
riuscisse a bucare uno dei tuoi server..

ciao
fabio

ps. visto che hai più ip statici usa ip diversi per i vari servizi
attraverso l'uso degli alias dell'interfaccia red di ipcop.

[ishka]

AM Liapunov ha scritto:

Perche' il dmz ruota tutte le porte sulla macchina a cui e' indirizzato.
Ad esempio mettiamo che tu inserisca l'ip della tua macchina interna
192.168.0.2 come macchina dmz e sopra hai win2k o xp hai le porte aperte
per amici come blaster e sasser :-) Quindi la tua bella macchinetta su
indirizzo 192.168.0.1 sara' pascolo felice per tutti quei prog che
sfruttano bug di qul tipo.

[ishka]

Umbe ha scritto:

> Intanto grazie per la risposta, pero' non decidero' in base ai so che ci
> saranno dietro-davanti o a lato di IpCop.

CUT

In questo non posso aiutarti uso router hardware e non ipcop, se mi
decidero' ad adottarlo poi magari ti potro' anche dire se conviene o no
usare dmz con ipcop.

[AM Liapunov]

ishka wrote:
> Perche' il dmz ruota tutte le porte sulla macchina a cui e' indirizzato.

Ma tu ti riferisci all'implementazione di ipcop?
Una struttura di rete con DMZ non è quello che dici tu.

[Sartor]

> Perche' il dmz ruota tutte le porte sulla macchina a cui e' indirizzato.
> Ad esempio mettiamo che tu inserisca l'ip della tua macchina interna
> 192.168.0.2 come macchina dmz e sopra hai win2k o xp hai le porte aperte
> per amici come blaster e sasser :-) Quindi la tua bella macchinetta su
> indirizzo 192.168.0.1 sara' pascolo felice per tutti quei prog che
> sfruttano bug di qul tipo.

mettere un firewall software su quella macchina?
In fondo non è che per fora una macchina in DMZ deve essere aperta come un
colabrodo.

[frick]

AM Liapunov ha scritto:

si riferisce alla funzionalita` ciofeca dei router domestici
che per agevolare l'utilizzo di p2p, webcam e roba simile lo
fanno e lo chiamano dmz per darsi un tono ;)

[ishka]

frick ha scritto:

> si riferisce alla funzionalita` ciofeca dei router domestici
> che per agevolare l'utilizzo di p2p, webcam e roba simile lo
> fanno e lo chiamano dmz per darsi un tono ;)

Esatto :-)
Beh a me quelli passano per le mani, quando ci arrivo ad ipcop poi ne
riparliamo :-)

[ishka]

Sartor ha scritto:

> mettere un firewall software su quella macchina?
> In fondo non è che per fora una macchina in DMZ deve essere aperta come un
> colabrodo.

E a che pro'? Configuro meglio la rete e non uso il dmz ;-)
E win respira :-D

[Sartor]

> E a che pro'? Configuro meglio la rete e non uso il dmz ;-)
> E win respira :-D

il pro è che personalmente (come tanti altri) non conosco Linux.
si lo so dovrei studiarmelo, se faranno giorni di 32 ore ci farò un
pensierino
ciao

[ObiWan]

> Da quello che ho capito la orange è consigliabile solo se c'e' la
necessità
> di generare traffico che PARTE PER PRIMO dalla Orange verso la Green.
> Ho capito male o cosa?

Non esattamente, la "ORANGE" (DMZ) di IPCop è fatta per ospitare servers
"pubblicati", ad esempio, supponiamo che tu voglia pubblicare su internet
un mailserver o webserver o quello che vuoi, installandolo in DMZ avresti
il vantaggio di renderlo raggiungibile sia da internet che dalla LAN solo
che
verrebbe _protetto_ dal firewall (la DMZ di cui parlo è una VERA DMZ non
quello schifo spacciato per tale da molti "routers" SoHo) inoltre se anche
qualcuno riuscisse a "penetrare" uno dei servers in DMZ la LAN resterebbe
protetta mentre invece, pubblicando un server che risiede sulla LAN ...

Ciao

[Umbe]

"ObiWan" <anze...@SPAM.gmx.net> ha scritto nel messaggio
news:2msjutF...@uni-berlin.de...

> Non esattamente, la "ORANGE" (DMZ) di IPCop è fatta per ospitare servers
> "pubblicati", ad esempio, supponiamo che tu voglia pubblicare su internet
> un mailserver o webserver o quello che vuoi, installandolo in DMZ avresti
> il vantaggio di renderlo raggiungibile sia da internet che dalla LAN solo
> che
> verrebbe _protetto_ dal firewall (la DMZ di cui parlo è una VERA DMZ non
> quello schifo spacciato per tale da molti "routers" SoHo) inoltre se anche
> qualcuno riuscisse a "penetrare" uno dei servers in DMZ la LAN resterebbe
> protetta mentre invece, pubblicando un server che risiede sulla LAN ...
>
> Ciao

Parlando della DMZ di IpCop, è qui che non capisco....( e mi riallaccio
all'inizio del mio tread)
Leggendo sul manuale, c'e' scritto che se io voglio avere un web e/o mail
server 'pubblicati', loro dicono di fare una Green+Red, e poi attraverso il
port forward, nattare dritto dritto sulla macchina/e server sulla green
senza quindi la ORANGE.(cap 2.4.3.1)
La differenza, sempre da quello che ho capito io leggendo sul manuale, stà
nel fatto che se io ho un web server che deve inoltrare delle richieste
sulla green (attenzione, la richiesta di invio pacchetti parte dal web
server) si riesce a fare solo con la DMZ.
Riamando al manuale amministrativo di IpCop, nella sezione di configurazione
della DMZ pinholes, cap 2.4.6.
E' questa pagina che mi manda nel pallone!
Grazie comunque per la pazienza...
Umbe