Esperti di switch

misterx · 04-07-2008, 08:22

Sono in una rete di classe C ed usciamo su internet attraverso un proxy server. Mappando la mi rete ho visto che esistono parecchi switch di questo tipo:
http://www.cisco.com/en/US/products/...627/index.html

avendo in mente una configurazione(cablaggio) di tipo seriale nel senso che, io ho in mente la seguente configurazione semplicistica di una rete che è:

interner<--->modem<--->firewall<--->proxy<--->switch<--->client......

Nel caso reale invece, mi pare che gli switch e idem il proxy, non sia connesso in modo seriale, ma direttamente connesso ad uno switch in una posizione qualunque.

Il mio dubbio è: se devo controllare attraverso il proxy gli accesso ad internet ed il collegamento non è di tipo seriale, significa che gli switch che ho evidenziato nel link sono programmabili e cioè, se vedono un certo tipo di traffico vengono settati per dirigerlo sul proxy ????

grazie 1000

BTS · 04-07-2008, 10:20

credo di no...

comunque sia il fatto che il proxy sia messo a valle degli switch (diciamo allo stesso strato dei client) non pregiudica il funzionamento del medesimo.

che ip di gateway hanno i client?

hmetal · 04-07-2008, 10:42

ma se il proxy lo imposti sul client, in qualunque posto il client si troverà sarà comunque obbligato a raggiungere il proxy per navigare.

Ovvio che sul firewall l'unico host abilitato a gerare traffico http dovrà essere il proxy.

per la cronaca non ti server un 2950

ciao

misterx · 04-07-2008, 11:20

Quote:

Originariamente inviato da hmetal

ma se il proxy lo imposti sul client, in qualunque posto il client si troverà sarà comunque obbligato a raggiungere il proxy per navigare.

Ovvio che sul firewall l'unico host abilitato a gerare traffico http dovrà essere il proxy.

per la cronaca non ti server un 2950

ciao

ed hai ragione, che sbadato

misterx · 04-07-2008, 11:22

Quote:

Originariamente inviato da BTS

che ip di gateway hanno i client?

192.168.4.1

BTS · 04-07-2008, 11:31

beh, a dire il vero quelli per me sono solo 4 numeri.

intendevo se come gateway usavi il proxy....

misterx · 04-07-2008, 11:33

Quote:

Originariamente inviato da BTS

beh, a dire il vero quelli per me sono solo 4 numeri.

intendevo se come gateway usavi il proxy....

no, c'è un 3550 della cisco

Ilpastore · 04-07-2008, 13:16

infatti nella stragrande maggioranza dei casi non si fa tutto a cascata, come hai disegnato tu... (non dire SERIALE... mi confondi)

Il proxy in genere si mette in una DMZ che dovrà gestirti l'apparato che ti fa routing (ex. firewall)

Una classica configuraione di proxy potrebbe essere una cosa del genere:

- Internet ->
- Router ADSL in bridge ->
- FIREWALL (in modalità ROUTING ed in WAN con PPPoE) ->

porta 1 del Firewall -> LAN INTERNA
porta 2 del Firewall -> DMZ con il server access-proxy (ex. squid)

- - - - -

Come gateway imposti cmq il firewall, per l'uscita, ma che succede, una volta che la tua richiesta arriva al FW, lui inoltra la riciesta al proxy che ti deve Autenticare (magari in un radius) e poi puoi andare...

Se invece fai come avevi disegnato tu devi fare doppio routing; sia nel firewall, sia nel proxy e ti incasini di molto....

hmetal · 04-07-2008, 13:30

Quote:

Se invece fai come avevi disegnato tu devi fare doppio routing; sia nel firewall, sia nel proxy e ti incasini di molto....

Non è proprio vero nel senso che la DMZ non è pensata a questo scopo; se utilizzi il proxy in DMZ e poi rispedisci indietro al firewall, è un uso "alternativo" della dmz ma non è quello nativo. Comunque si puo fare anche cosi.

Se il proxy è in lan (come di solito è) non devi fare nessun tipo di routing.

ciao

Ilpastore · 04-07-2008, 13:38

Quote:

Originariamente inviato da hmetal

Non è proprio vero nel senso che la DMZ non è pensata a questo scopo; se utilizzi il proxy in DMZ e poi rispedisci indietro al firewall, è un uso "alternativo" della dmz ma non è quello nativo. Comunque si puo fare anche cosi.

Beh dipende dalla definizione esatta ce TU dai alla DMZ.. io, a parte quello che si dice sui libri, l'ho sempre cosiderata come una sorte di LAN2 (o più di una ne caso si usassero più di una DMZ)
Tanto poi nelle regole di routing e di firewalling avrai LAN-to-DMZ; WAN-to-DMZ; ecc... quindi mi dissocio da quello che i libri ci insegno come: DMZ=zona non protetta. Alla fine come visto sopra le fai cmq tu le regole di entrata/uscita, sia per la WAN, che per LAN, ma anche per DMZ.

Quote:

Originariamente inviato da hmetal

Se il proxy è in lan (come di solito è) non devi fare nessun tipo di routing.

Questo è quello che avevo già scritto io ed è questo l'importante.

utente_medio_ · 04-07-2008, 13:45

puoi usare un firewall che abbia il proxy integrato per una cosa poco complessa...

sugli switch (la maggior parte) puoi impostare delle Vlan che permettono di "programmare ed assiocare" porte dello switch ad una determinata rete ed avere piu reti che girano sullo stesso switch..

hmetal · 04-07-2008, 15:10

Quote:

Beh dipende dalla definizione esatta ce TU dai alla DMZ.. io, a parte quello che si dice sui libri, l'ho sempre cosiderata come una sorte di LAN2 (o più di una ne caso si usassero più di una DMZ)
Tanto poi nelle regole di routing e di firewalling avrai LAN-to-DMZ; WAN-to-DMZ; ecc... quindi mi dissocio da quello che i libri ci insegno come: DMZ=zona non protetta. Alla fine come visto sopra le fai cmq tu le regole di entrata/uscita, sia per la WAN, che per LAN, ma anche per DMZ.

Non è quella che IO do alla dmz....

Non è considerabile un altra LAN altrimenti si chiamarebbe appunto LAN2, LANn

Si chiama DMZ perche ha un ruolo specifico, ed è logicmanete (potrebbe essere fisicamente dislocata dall'altro capo della terra in VPN...) correlata e collegata alla LAN.

ma stiamo andando OT. Al limite apriamo un thread a posta

per il resto sono daccordo con te.

ciao

BTS · 04-07-2008, 17:56

per me la dmz è sia come dice ilpastore che come dice hmetal.

chiuso ot

misterx · 04-07-2008, 18:02

da me sulla DMZ ci hanno implementato il traffico della posta, internet ed ftp.
Quindi mi è parso di capire che nel mio caso ci si redirige verso il proxy attraverso il settaggio del browser e quindi il proxy decide se inoltrare al gateway o meno traffico fuori dalla LAN.

Che differenza c'è tra un 3550 e un 2950 cisco ?

Ilpastore · 04-07-2008, 18:07

Quote:

Originariamente inviato da BTS

per me la dmz è sia come dice ilpastore che come dice hmetal.

chiuso ot

concordo OT. Chiudo anch'io. Semmai ne riparleremo in altro thread

04-07-2008, 08:22	#1
misterx Senior Member Iscritto dal: Apr 2001 Città: Milano Messaggi: 3736	Esperti di switch Sono in una rete di classe C ed usciamo su internet attraverso un proxy server. Mappando la mi rete ho visto che esistono parecchi switch di questo tipo: http://www.cisco.com/en/US/products/...627/index.html avendo in mente una configurazione(cablaggio) di tipo seriale nel senso che, io ho in mente la seguente configurazione semplicistica di una rete che è: interner<--->modem<--->firewall<--->proxy<--->switch<--->client...... Nel caso reale invece, mi pare che gli switch e idem il proxy, non sia connesso in modo seriale, ma direttamente connesso ad uno switch in una posizione qualunque. Il mio dubbio è: se devo controllare attraverso il proxy gli accesso ad internet ed il collegamento non è di tipo seriale, significa che gli switch che ho evidenziato nel link sono programmabili e cioè, se vedono un certo tipo di traffico vengono settati per dirigerlo sul proxy ???? grazie 1000

04-07-2008, 10:20	#2
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	credo di no... comunque sia il fatto che il proxy sia messo a valle degli switch (diciamo allo stesso strato dei client) non pregiudica il funzionamento del medesimo. che ip di gateway hanno i client? __________________ Microsoft? MAI-crosoft!

04-07-2008, 10:42	#3
hmetal Senior Member Iscritto dal: Apr 2006 Città: Sydney - Hmetal up your ass! Messaggi: 987	ma se il proxy lo imposti sul client, in qualunque posto il client si troverà sarà comunque obbligato a raggiungere il proxy per navigare. Ovvio che sul firewall l'unico host abilitato a gerare traffico http dovrà essere il proxy. per la cronaca non ti server un 2950 ciao __________________ ...e poi i sistemi informativi sono come le donne, se hanno esperienza è meglio [cit] Il mio blog: thekangarootamer.wordpress.com "Già solo il fatto che tu sia indeciso sul da farsi è grave, sei un debole e quindi un sonaro..." [cit]

04-07-2008, 11:31	#6
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	beh, a dire il vero quelli per me sono solo 4 numeri. intendevo se come gateway usavi il proxy.... __________________ Microsoft? MAI-crosoft!

04-07-2008, 13:16	#8
Ilpastore Senior Member Iscritto dal: Jul 2005 Città: Comino Beach Messaggi: 972	infatti nella stragrande maggioranza dei casi non si fa tutto a cascata, come hai disegnato tu... (non dire SERIALE... mi confondi) Il proxy in genere si mette in una DMZ che dovrà gestirti l'apparato che ti fa routing (ex. firewall) Una classica configuraione di proxy potrebbe essere una cosa del genere: - Internet -> - Router ADSL in bridge -> - FIREWALL (in modalità ROUTING ed in WAN con PPPoE) -> porta 1 del Firewall -> LAN INTERNA porta 2 del Firewall -> DMZ con il server access-proxy (ex. squid) - - - - - Come gateway imposti cmq il firewall, per l'uscita, ma che succede, una volta che la tua richiesta arriva al FW, lui inoltra la riciesta al proxy che ti deve Autenticare (magari in un radius) e poi puoi andare... Se invece fai come avevi disegnato tu devi fare doppio routing; sia nel firewall, sia nel proxy e ti incasini di molto.... __________________ "Il firewall più sicuro al mondo? Colui che sta seduto davanti al pc ore ed ore..." http://www.antoniodavanzo.com

04-07-2008, 13:45	#11
utente_medio_ Senior Member Iscritto dal: Mar 2007 Messaggi: 372	puoi usare un firewall che abbia il proxy integrato per una cosa poco complessa... sugli switch (la maggior parte) puoi impostare delle Vlan che permettono di "programmare ed assiocare" porte dello switch ad una determinata rete ed avere piu reti che girano sullo stesso switch.. Ultima modifica di utente_medio_ : 04-07-2008 alle 13:48.

04-07-2008, 17:56	#13
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	per me la dmz è sia come dice ilpastore che come dice hmetal. chiuso ot __________________ Microsoft? MAI-crosoft!

04-07-2008, 18:02	#14
misterx Senior Member Iscritto dal: Apr 2001 Città: Milano Messaggi: 3736	da me sulla DMZ ci hanno implementato il traffico della posta, internet ed ftp. Quindi mi è parso di capire che nel mio caso ci si redirige verso il proxy attraverso il settaggio del browser e quindi il proxy decide se inoltrare al gateway o meno traffico fuori dalla LAN. Che differenza c'è tra un 3550 e un 2950 cisco ? Ultima modifica di misterx : 04-07-2008 alle 18:23.

Strumenti
Mostra una versione stampabile Invia questa pagina per email