Zywall5, router, lan già esistente... problemi!

samu76 · 20-09-2007, 13:54

salve

premetto che sono arrivato in questa nuova sede ed ho trovato una situazione che andrò ora a descrivervi, per sapere il vostro parere e su come, eventualmente, procedere...

router (è dato in comodato, è una rete privata.... tipo fastweb... insomma, casini per aprire porte, gestire servizi interni etc etc....)

zywall5 (non ho ancora la password ma presto l'avrò!)

2 switch 3com (rack)

2 reti, ufficio e didattica.... stessi IP, con gw quello del router (non si possono cambiare)

allora.... le connessioni fisiche che ho trovato al mio arrivo e che mi lasciano perplesso sono:

router--> switch1 (ufficio)--->collegato alla WAN dello zywall
una porta dello zywall --> switch2 (didattica)

se navigo in internet da didattica, ho siti bloccati (pornografici..) giustamente
se navigo da ufficio... nessuna restrizione

da didattica pingo ip ufficio
da didattica non vedo i client (e relativo contenuto) dell'ufficio (ma qui credo perchè sono due gruppi di lavoro diversi... dovrei fare un test mettendo gli stessi nomi e vedere se le reti sono divise)

il mio dubbio è questo:

ma il firewall, fa qualcosa o è li solo per bellezza?
le connessioni non dovrebbero essere:

router--> WAN zywall ---> Una LAN a switch 2
Una LAN (settata come dmz) a switch 1

e regola che lan e dmz non si possano vedere

o i collegamenti attuali sono corretti?

grazie per gli aiuti, e soprattutto a dipanare i miei dubbi

BTS · 20-09-2007, 14:01

credo di aver afferrato il nocciolo della tua domanda, però non è chiarissimo in toto.

fai uno schemino

samu76 · 20-09-2007, 14:30

Spero che il disegno aiuti a capire... non sono giotto

tutta la lan è sulla stessa classe di IP 192.168.0.x

router 192.168.0.1 (esempio)
zywall 192.168.0.2 (esempio) in transparent mode

BTS · 20-09-2007, 15:31

la rete siffatta mi pare una cagata

una sorta di autopermessi per coloro che stanno nello switch 1.

Quindi la tua domanda è, se così va bene?
sì, però c'è meno protezione, ma soprattutto meno controllo per gli host dello switch 1

samu76 · 20-09-2007, 16:41

mmmm... allora vedrò se riesco a sistemarla, mettendo lo switch1 sotto una porta lan configurata come dmz (con molti meno controlli quindi) (necessitano di avere assistenza da remoto... mi potrei far dire quali porte usano... software credo sia tivoli...)

altra cosa, se lascio le cose così come sono

se su un pc sotto switch 1 metto IP 192.168.0.10
e se su un pc sotto switch 2 metto IP 192.168.0.10

in pratica uguali, vanno in conflitto ugualmente? o essendoci di mezzo il firewall "sistema" un po le cose?

in caso, se lascio le cose così, potre cambiare tutta la sotto rete dopo il firewall, quindi non rendendolo più transparent

situazione forse che durerù poco (almeno in termini burocratici

) in quanto forse la didattica verrà separata con altra connessione adsl

grazie

BTS · 21-09-2007, 08:16

no, no... nessun pc deve avere l'ip di un altro

samu76 · 23-09-2007, 12:04

grazie..

ora, appena recupero la password e ritorno in quella sede vedrò di sistemare un po le cose... o peggiorarle... dipende

20-09-2007, 13:54	#1
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	Zywall5, router, lan già esistente... problemi! salve premetto che sono arrivato in questa nuova sede ed ho trovato una situazione che andrò ora a descrivervi, per sapere il vostro parere e su come, eventualmente, procedere... router (è dato in comodato, è una rete privata.... tipo fastweb... insomma, casini per aprire porte, gestire servizi interni etc etc....) zywall5 (non ho ancora la password ma presto l'avrò!) 2 switch 3com (rack) 2 reti, ufficio e didattica.... stessi IP, con gw quello del router (non si possono cambiare) allora.... le connessioni fisiche che ho trovato al mio arrivo e che mi lasciano perplesso sono: router--> switch1 (ufficio)--->collegato alla WAN dello zywall una porta dello zywall --> switch2 (didattica) se navigo in internet da didattica, ho siti bloccati (pornografici..) giustamente se navigo da ufficio... nessuna restrizione da didattica pingo ip ufficio da didattica non vedo i client (e relativo contenuto) dell'ufficio (ma qui credo perchè sono due gruppi di lavoro diversi... dovrei fare un test mettendo gli stessi nomi e vedere se le reti sono divise) il mio dubbio è questo: ma il firewall, fa qualcosa o è li solo per bellezza? le connessioni non dovrebbero essere: router--> WAN zywall ---> Una LAN a switch 2 Una LAN (settata come dmz) a switch 1 e regola che lan e dmz non si possano vedere o i collegamenti attuali sono corretti? grazie per gli aiuti, e soprattutto a dipanare i miei dubbi __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

20-09-2007, 14:01	#2
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	credo di aver afferrato il nocciolo della tua domanda, però non è chiarissimo in toto. fai uno schemino __________________ Microsoft? MAI-crosoft!

20-09-2007, 15:31	#4
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	la rete siffatta mi pare una cagata una sorta di autopermessi per coloro che stanno nello switch 1. Quindi la tua domanda è, se così va bene? sì, però c'è meno protezione, ma soprattutto meno controllo per gli host dello switch 1 __________________ Microsoft? MAI-crosoft!

20-09-2007, 16:41	#5
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	mmmm... allora vedrò se riesco a sistemarla, mettendo lo switch1 sotto una porta lan configurata come dmz (con molti meno controlli quindi) (necessitano di avere assistenza da remoto... mi potrei far dire quali porte usano... software credo sia tivoli...) altra cosa, se lascio le cose così come sono se su un pc sotto switch 1 metto IP 192.168.0.10 e se su un pc sotto switch 2 metto IP 192.168.0.10 in pratica uguali, vanno in conflitto ugualmente? o essendoci di mezzo il firewall "sistema" un po le cose? in caso, se lascio le cose così, potre cambiare tutta la sotto rete dopo il firewall, quindi non rendendolo più transparent situazione forse che durerù poco (almeno in termini burocratici ) in quanto forse la didattica verrà separata con altra connessione adsl grazie __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

21-09-2007, 08:16	#6
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	no, no... nessun pc deve avere l'ip di un altro __________________ Microsoft? MAI-crosoft!

23-09-2007, 12:04	#7
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	grazie.. ora, appena recupero la password e ritorno in quella sede vedrò di sistemare un po le cose... o peggiorarle... dipende __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

Strumenti
Mostra una versione stampabile Invia questa pagina per email