Natting su Windows 2000 Server

[mb220868]

Mi stanno portando una HDSL 2MB per far navigare in internet
gli utenti di una lan basata su windows 2000 server.
Oltre al Router mi verà installato anche un firewall hardware.
Questo firewall consentirà la navigazione degli utenti previo
controllo dell'indirizzo IP del richiedente.
Vorrei a questo punto far pervenire al firewall tutte le richieste di uscita su web tramite un indirizzo IP unico.
Ho letto un po' in giro ma ci capisco poco....
Credo di dover attivare IL Routing e il Natting ma questa è solo
una sensazione a "naso".
Qualcuno sa darmi 1 dritta ?????
Sto giocando con ISA server ma non so se sono sulla strada giusta.
Ho letto anche che come prerequisiti hardware dovrei avere 2
interfacce di rete, ma questa è una soluzione che vorrei evitare.

Help me Please !

[seclimar]

domanda:
ma se il firewall controlla l'ip originante...
e tu come ip originante ne lasci solo uno (che viene lasciato passare)

COSA TE NE FAI DEL FIREWALL??????????????


per il routing o la condivisione di internet.. si.. hai bisogno di due schede di rete!

se usi un proxy server puoi usare una sola scheda di rete...
ma ricorda che i client ..potrebbero arrivare lo stesso oltre il server...
in ogni caso ti consiglio di pianificare bene la rete prima di farla!

non mi sembra molto chiara!

[heroes3]

ma il firewall dove lo metti???
Interno alla lan che controlla tutto il traffico e quindi con un ip locale oppure con un Ip Pubblico???
se non vuoi far navigare gli utenti non fai prima a non mettergli il gateway??

[mb220868]

Schemino:

Internet <-> Router <-> Firewall <-> Proxy ISA <-> Lan.

Il mio problema è che il firewall che mi darà il gestore
ha la necessità di avere "mappato" gli indirizzi IP dei client
della mia Lan che possono andare in internet. Al massimo
se ne possono mappare 15 (insufficenti).

Mi chiedevo quindi se esiste qualcosa che si possa "mettere"
tra firewall e Lan (Proxy ???? vedi schema) che possa mascherare
le richieste di navigazione in internet come se provenienti
da un unico indirizzo IP (quello del proxy server stesso ad esempio)

[seclimar]

ti dicvo come farei io:
semplicemente:
Internet <-> Router <-> Lan.

la rete e' gia' protetta usando degli ip privati

o al limite ...sevuoi impedire che i tuoi utenti vadano ovunque su internet....

Internet <-> Router <-> Proxy <-> Lan.

[mb220868]

Quella che tu mi proponi è la soluzione che già sto adottando.
Visto però che ho la possibilità di utilizzare un firewall
vorrei renderlo operativo.

L'unico problema sta nel firewall (che sarà gestito in Remoto
dal gestore della HDSL) che consente di specificare al massimo
15 indirizzi IP della mia lan da abilitare alla navigazione.
Questo numero è insufficente. Quindi sto cercando qualcosa
che accentri tutte le richieste dalla mia lan per uscire sul WEB e che le indirizzi al Firewall come provenienti da un unico client quindi con un unico indirizzo IP (Isa Server ?). In questo modo potrei restringere il range degli indirizzi IP da indicare al firewall ad un solo indirizzo (al limite due o tre giusto per stare tranquillo). In questo modo posso anche ottenere un migliore controllo del traffico WEB. Chi non passa da ISA server sul web non ci va nemmeno se usa una mazzetta.

Che ne pensi ?

[seclimar]

hai mandato un messaggio errato nel forum..al limite chiedi al moderatore di cancellarlo...

ti rispondo in ogni caso:

anche se il provider ti offre un firewall
NON SEI OBBIGATO AD USARLO
secondo me non ne hai bisogno!
quindi e' inutile che complichi la tua rete senza nessun valore aggiunto..
anzi ... aggiungendo lavoro al tuo provider..cosi' per qualsiasi problema tu sarai ancora piu' bloccato!

non metterlo e basta

[mb220868]

Come non detto ......

Una ultima domanda:
Ma allora a cosa server il firewall ?????
Io intendo proteggere il più possibile la mia lan da eventuali
attacchi esterni, non ho necessità di effettuare controlli particolari sui miei utenti interni. Premetto che non ho nella mia lan un web server o un server di posta, quindi virtualmente non sarei esposto ad alcunchè, ma la prudenza non è mai troppa o in questo caso è esagerata ?

P.S. Come faccio a far cancellare dal forum il mio messaggio precedente ?

[heroes3]

il firewall è un dispositivo da utilizzarsi quando hai la necessita di far comunicare con il mondo internet alcuni dei tuoi servizi
ma nel tuo caso non ne vedo questa necessita

[seclimar]

il firewall blocca il traffico!
in entrata o in uscita! e fa passare solo cio' che dici tu!

in entrata sei gia' sicuro per il NAT del router (a meno che tu usi degli ip pubblici nella lan)
in uscita.. beh.. dipende dagli utenti... nel caso puoi mettere un proxy e basta