Firewall per rete lan

[Nativoz]

Ciao,
La mia rete è collegata al resto delle filiali tramite router.
Non vi è nessun firewall a difenderci e spesso i pc delle filiali infettano i nostri alla sede centrale.
E' possibile frapporre un firewall tra la mia LAN interna ed il router che ci collega con le filiali o router e lan devono per forza essere su 2 subnet diverse per fare routing?

La mia lan è 10.0.8.0/255.255.255.128
il gateway è 10.0.8.122

grazie infinite

[slowped]

Quote:

Originariamente inviato da Nativoz

E' possibile frapporre un firewall tra la mia LAN interna ed il router che ci collega con le filiali

Sì. Io ti consiglierei un'appliance che abbia anche l'antivirus.

Quote:

Originariamente inviato da Nativoz

o router e lan devono per forza essere su 2 subnet diverse per fare routing?

Decisamente no. Se il router non avesse almeno una interfaccia sulla tua LAN tu non potresti mai raggiungerlo.

[OUTATIME]

Dipende anche come avviene l'infezione....

Certo che se vi mandate per posta un file "cicciolina e le tettone.exe" e qualcuno ci clicca su, del firewall ve ne fate poco....

[Nativoz]

mmm
non ho comunque capito bene che ip dare alle 2 schede di rete del firewall perchè possa fare routing all'interno della stessa subnet.
Come dicevo sopra la lan è 10.0.8.0/255.255.255.128
il router è 10.0.8.122

cosa dovrei fare? assegnare alla sceda di rete che intendo utilizzare per il collegamento al router un ip tipo 10.0.8.121/255.255.255.252 in modo che mi veda solo da 10.0.8.120 fino a 10.0.8.124 e poi assegnare alla scheda di rete che andrà collegata alla lan un ip tipo 10.0.8.2/255.255.255.128 e fare routing tra l'interfaccia interna e quella esterna?
Funzionerà lo stesso?

[slowped]

Quote:

Originariamente inviato da Nativoz

mmm
non ho comunque capito bene che ip dare alle 2 schede di rete del firewall perchè possa fare routing all'interno della stessa subnet.
Come dicevo sopra la lan è 10.0.8.0/255.255.255.128
il router è 10.0.8.122

Scusa ma non ti seguo. Le filiali sono collegate alla tua LAN tramite il router? Se sì, allora sono su un'altra subnet.

A prescindere da quale sia la subnet delle filiali, se vuoi proteggere la tua LAN con un firewall devi inserirlo a valle del router ma a monte di tutta la LAN, in modo che il traffico proveniente dalle filiali tramite il router prima di giungere sulla tua rete sia filtrato dal firewall.

[Nativoz]

Mi consigliate un buona buona distro linux da usare come firewall per proteggere una lan? Con smoothwall non mi sono trovato molto bene

[Maddoctor]

Quote:

Originariamente inviato da Nativoz

Ciao,
La mia rete è collegata al resto delle filiali tramite router.
Non vi è nessun firewall a difenderci e spesso i pc delle filiali infettano i nostri alla sede centrale.

Credo te lo abbiano già chiesto : come avvengono le infezioni ?
Come raggiungete internet (sia i PC della sede Centrale che quelli delle sedi periferiche) ?

Grazie per le risposte

[Nativoz]

internet viene raggiunto tramite un proxy che è in una filiale

le infezioni sono le classiche da worm, non essendoci filtri è come se fossimo tutti in un'unica LAN. Una cosa tipo Tutte le porte verso tutte le porte.
Come scritto sopra ho un router per ogni LAN (sede e filiali) che garantisce il collegamento.
Io vorrei mettere un firewall tra i miei IP 10.0.8.0/255.255.255.128 ed il router che è il 10.0.8.122

Dovrei risparmiare il più possibile e pertanto cercavo una soluzione linux
spero stavolta di avere detto tutto
grazie per le risposte che avete già dato e per ulteriori

[Alfonso78]

che router hai...???

[Maddoctor]

Non hai mai pensato di usare come proxy squid + havp. In questo modo risolvi il problema delle infezioni prese da Internet.

Poi per le infezioni, parere mio, si usano gli antivirus e non i firewall ( a meno di un firewall che ispezioni tutto il traffico , ma non so se conveniene ...) ....

Quindi riassumendo : io farei cosi ... (a dire il vero io faccio così)


1) - PROXY : squid + havp + squid su una macchina , assicurandosi di aggiornare periodicamente le definizioni dei virus e di ripulire la cache dello squid altrettanto periodicamente (diciamo almeno 2 volte al dì )

2) - Antivirus su ogni PC (che forse è quello che ti serve).

Il primo punto è gratis, quindi se sei in grado, io lo farei subito di corsa !!!

Il firewall normale eventualmente ti servirà per assicurarti che gli utenti raggiungano internet solo attraverso il proxy, così sei sicuro che i virus verranno tutti intercettati.

Ciao

[Nativoz]

Il router è un marconi. ora non so dirti di più perchè non sono in ufficio.
ho risolto installando una distro freebsd
http://www.pfsense.org/
si configura via web e mi ci sono trovato piuttosto bene

[frank8085]

.