Rete interna-esterna, nat, dmz,.... confusione!

[ingpeo]

Ciao a tutti, ho dei dubbi da dissipare riguardo ad una piccola rete aziendale.
Situazione attuale: Piccola azienda con un server e 4 pc client, uno switch e un router (dsl 502T). Abbiamo un pool di 8 indirizzi IP pubblici.
Attualmente si stanno usando tutti gli indirizzi pubblici come ip gli indirizzi delle varie macchine, il server è nella dmz per poter essere raggiungibile dall'esterno tramite terminal server.
Sul router è attivo un firewall.

Quando ho studiato la cosa non mi è piaciuta molto sotto il profilo della sicurezza.

A questo punto vorrei dividere in modo più netto la rete interna rispetto ad internet, utilizzando comunque l'attuale configurazione hw.

Stavo pensando di creare una rete interna con indirizzi classici 192.168.1.x.
Vorrei però delle dritte per capire cosa e come impostare il router per rendere accessibile il server dall'esterno.
Inoltre mi serve che sempre questo server usi un ip pubblico per poter collegarsi a servizi di un'altra azienda.

[hmetal]

Quote:

Quando ho studiato la cosa non mi è piaciuta molto sotto il profilo della sicurezza.

un firewall oppurtunamente configurato basta e avanza.

Quote:

A questo punto vorrei dividere in modo più netto la rete interna rispetto ad internet, utilizzando comunque l'attuale configurazione hw

Puoi nattare pero la funzione del nat non è quella di alzare il livello di sicurezza, ma avere un pool praticamente infinito (2^24 hosts utilizzando indirizzamento in classe A) di indirizzi per la lan. Poi si è visto che era utile anche per gestire la sicurezza.

Se ti servono piu indirizzi lan natta altrimenti lascia il firewall che va bene.


ti dico questo perche:

Quote:

Vorrei però delle dritte per capire cosa e come impostare il router per rendere accessibile il server dall'esterno.
Inoltre mi serve che sempre questo server usi un ip pubblico per poter collegarsi a servizi di un'altra azienda.

se tu poi vuoi fare questo nascono una serie di problemi (port e ip forwarding) e altre cose che necessitano di una pianificazione piu generica. DEvi prima cioe decidere la tua rete cosa fa e cosa non deve fare, che connessione deve ricevere etc...in modo tale che dopo riesci ad andare a configurarti i dispositivi senza diventare matto.

Se vuoi mettere il nat, comunque, basta chiedere e ti diamo una mano!

ciao!

[ingpeo]

Grazie della risposta.
Il firewall c'è già ed è impostato bene, mi pare.
Alla fine le richieste sono quelle di poter accedere dall'esterno al server in terminal server, via web e via ftp (comunque solo autorizzati, non tiene un sito pubblico ma solo di prova).
Inoltre anche gli altri pc devono riuscire ad uscire verso internet.

Se mi dite che basta lasciare il firewall ben configurato allora lo tengo così.

[Tony Lio]

Io sono nella tua stessa situazione.
Adsl con 8 ip statici pubblici così suddivisi (metto numeri diversi per farvi capire):
Broadcast 200.15.18.80/87
Router/gateway 200.15.18.81
Server A 200.15.18.82
Server B 200.15.18.83
Client Aa 200.15.18.84
Client Bb 200.15.18.85
Client Cc 200.15.18.86

in questo modo però ci rimangono fuori altri 2 client e per usarli, ogni volta, bisogna stare attenti che qualche client sia spento. Inltre questo porta a decine di warning di arpwatch che segnala a martello il cambio dei MAC e manda in tilt lo switch (hardware) a cui sono collegate tutte le macchine.

Usiamo un zyxel 645R, com è possibile fare un bel NAT in modo da tenere pubblici quei due server e nascondere su classi 192.168. tutti gli altri pc?? Se attivo sua Nat sul router è meglio il suicidio, avevo pensato al dhcp ma non sono sicuro che poi il router assegni gli ip statici pubblici ai server e contemporaneamente quelli dinamici privati ai client.

La soluzione doppia scheda di rete su uno dei due server è già stata scartata perchè il server diventava inutilizzabile data la mole di dati scambiata dai client e dai server (due server web aziendali).

Any suggestions????

[hmetal]

Quote:

Se mi dite che basta lasciare il firewall ben configurato allora lo tengo così.

ecco tony lio casca proprio a fagiolo. La sua è una situazione in cui usare il nat ha un senso. Se il firewall è configurato correttamente, e non hai bisogno di indirizzi ip aggiuntivi, credimi che è meglio lasciare cosi. Il nat implica un certo sbattimento di design; rischi di avere piu grattacapi che effettivi miglioramenti!

Quote:

Usiamo un zyxel 645R, com è possibile fare un bel NAT in modo da tenere pubblici quei due server e nascondere su classi 192.168. tutti gli altri pc?? Se attivo sua Nat sul router è meglio il suicidio, avevo pensato al dhcp ma non sono sicuro che poi il router assegni gli ip statici pubblici ai server e contemporaneamente quelli dinamici privati ai client.

Una soluzione del genere è praticabile utilizzando:

- o 2 router

- o un server, magari non quello che usi ma ne metti su un altro con 2 schede di rete che sta tra il dmz e la nuova lan.

ciao!

[ingpeo]

Bene, allora mantengo l'attuale configurazione e, non appena servirà ampliare la numerosità di pc ne metterò uno con linux per fare da firewall e gestire la separazione delle reti.