ghini76
06-10-2010, 18:52
Ciao a tutti,
ho un dubbio sulla sicurezza...
in ufficio ho configurato una LAN (192.168.1.x) e una DMZ (10.0.0.x) grazie al mio router/firewall ZyWall35. In più ho due interfacce WAN con 2 SHDSL in bilanciamento.
Sul firewall:
ho configurato un IP pubblico su un IP della DMZ
ho aperto la porta 80 da WAN > DMZ (le altre sono chiuse)
ho chiuso tutte le porte da WAN > LAN
ho aperto tutte le porte da LAN > DMZ
ho aperto tutte le porte da LAN > WAN
ho aperto solo alcune porte (MySQL, SQL server, Antivirus) da DMZ > LAN
in DMZ ho due server virtuali su una macchina fisica
in LAN ho parecchio altro...
intanto vi chiedo se questa configurazione vi "risulta" sicura (a me sembra di si e ne sono tanto soddisfatto dopo le tante ore passate a configurare il tutto :D ).
E poi avrei un dubbio: per avere la comunicazione tra i server in DMZ e quelli in LAN è meglio aprire le porte giuste sul firewall e nattarle (come ho fatto) o è preferibile installare un'altra scheda di rete con un indirizzo della LAN (sono macchine virtuali quindi è rapido e non ho problemi di cavi) ? :confused:
Grazie a tutti :ciauz:
ho un dubbio sulla sicurezza...
in ufficio ho configurato una LAN (192.168.1.x) e una DMZ (10.0.0.x) grazie al mio router/firewall ZyWall35. In più ho due interfacce WAN con 2 SHDSL in bilanciamento.
Sul firewall:
ho configurato un IP pubblico su un IP della DMZ
ho aperto la porta 80 da WAN > DMZ (le altre sono chiuse)
ho chiuso tutte le porte da WAN > LAN
ho aperto tutte le porte da LAN > DMZ
ho aperto tutte le porte da LAN > WAN
ho aperto solo alcune porte (MySQL, SQL server, Antivirus) da DMZ > LAN
in DMZ ho due server virtuali su una macchina fisica
in LAN ho parecchio altro...
intanto vi chiedo se questa configurazione vi "risulta" sicura (a me sembra di si e ne sono tanto soddisfatto dopo le tante ore passate a configurare il tutto :D ).
E poi avrei un dubbio: per avere la comunicazione tra i server in DMZ e quelli in LAN è meglio aprire le porte giuste sul firewall e nattarle (come ho fatto) o è preferibile installare un'altra scheda di rete con un indirizzo della LAN (sono macchine virtuali quindi è rapido e non ho problemi di cavi) ? :confused:
Grazie a tutti :ciauz: