Re: [rlug] solutie firewall acelasi clasa ip-uri /24
Daca switchul suporta poti sa faci separarea cu private vlans. citat : A private VLAN partitions the Layer 2 broadcast domain of a VLAN into subdomains, allowing you to isolate the ports on the switch from each other* * http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/PrivateVLANs.html 2015-07-21 16:25 GMT+02:00 manuel lonely wolf wolfshant wo...@prolinux.ro : On 07/21/2015 05:02 PM, mat.mar...@gmail.com wrote: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri care sa se comporte ca si proxy arp? Mai puteti sugerati alta solutie? nu exista decit 2 variante mari si late - o masina intermediara (poate fi si transparenta, gen un firewall care lucreaza pe un bridge) prin care trece tot traficul si face filtrarea dupa gust - firewall pe fiecare host in cauza ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug -- Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
Salut, Probabil n-am inteles eu exact, dar care e scopul acelui firewall? Intre anumite hosturi inteleg ca are rol de acl intern. Vrei sa clasifici reteaua pe anumite policy-map-uri? Adrian Maftei On 21 iul. 2015, at 18:39, Claudiu Nicolaie CISMARU clau...@virtuamagic.com wrote: http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/config uration/guide/cli/CLIConfigurationGuide/PrivateVLANs.html Nexus sunt relativ ieftine, I believe (nu le cunosc prea bine). Insa se poate face cu un ASA 5506. E un device nou si e bump on the wire... Si am inteles ca e si relativ ieftin... /me, NO, I'm NOT trying to sell them, I'm only doing maintenance for Sourcefire :) ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
2015-07-21 15:02 GMT+01:00 mat.mar...@gmail.com: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri care sa se comporte ca si proxy arp? Mai puteti sugerati alta solutie? Presupunind ca switch-ul in care sunt puse toate e cu management adica stie VLAN-uri, iei fiecare port care te intereseaza si il pui intr-un vlan separat, transporti toate VLAN-urile intr-un transparent-brige (trunk) si faci bridging intre interfetele vlan si te joci de acolo cu ebtables. Mersi, Marius ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/config uration/guide/cli/CLIConfigurationGuide/PrivateVLANs.html Nexus sunt relativ ieftine, I believe (nu le cunosc prea bine). Insa se poate face cu un ASA 5506. E un device nou si e bump on the wire... Si am inteles ca e si relativ ieftin... /me, NO, I'm NOT trying to sell them, I'm only doing maintenance for Sourcefire :) ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
On 07/21/2015 06:22 PM, Adrian Joian wrote: Daca switchul suporta poti sa faci separarea cu private vlans. citat : A private VLAN partitions the Layer 2 broadcast domain of a VLAN into subdomains, allowing you to isolate the ports on the switch from each other* * doar ca deja asta e o solutie all or nothing, nu un firewall traditional ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
2015-07-21 17:02 GMT+03:00 mat.mar...@gmail.com: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri care sa se comporte ca si proxy arp? Solutia simpla se cheama Private VLAN ( https://en.wikipedia.org/wiki/Private_VLAN). Pe scurt iti configurezi doua tipuri de porturi: 1) Isolated - alea care nu discuta cu nimeni in afara de Promiscuous/Community 2) Promiscuous/Community - alea care discuta cu toate, inclusiv cele Isolated. sin ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
On 21-Jul-15 17:02 PM, mat.mar...@gmail.com wrote: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri care sa se comporte ca si proxy arp? Mai puteti sugerati alta solutie? Colegii ți-au sugerat Private vlan (+ proxyarp ca să și meargă). Dar permite-mi să adaug un răspuns de la un banc cu Radio Erevan: Da, se poate. Dar este păcat. Dumitru regatul meu pentru o sârmă cu care să leg șandramaua ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] solutie firewall acelasi clasa ip-uri /24
Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri care sa se comporte ca si proxy arp? Mai puteti sugerati alta solutie? Mersi, Marius ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
On 21/7/2015 5:02 PM, mat.mar...@gmail.com wrote: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. sorry, n-am prea inteles nimic (o fi caldura de vina), dar trecand pe 'worst case scenario', cel mai sigur firewall e cel de pe masina exemplu: rupi reteaua logic in doua /25 minor la servere, /25 major la statii, si tot traficul trece prin router, firewall DOAR pe router; ce il opreste pe gigi sa-si puna un /24 si sa acceseze direct serverele ? (cei drept, va fi rutare asimetrica, la intoarcere pachetele vor trece prin router si poate mai prinzi ceva acolo); nu mai sigur pui firewall direct pe server daca chiar vrei sa-l protejezi ? descrie mai in amanunt ce te supara si ce vrei sa obtii, sau poate o fi vreun coleg mai 'proactiv' (cuvant la moda, TM) si se prinde exact ce vrei Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
On 07/21/2015 05:02 PM, mat.mar...@gmail.com wrote: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Defineste intre In anumite situatii foarte particulare un brigding firewall ajuta -- Dan Borlovan Datagroup-Int ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
On 21.07.2015 17:02, mat.mar...@gmail.com wrote: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Nu poti sa faci filtering in acelasi broadcast decit daca pui in fata la fiecare client un bridge. Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri care sa se comporte ca si proxy arp? Nu. Mai puteti sugerati alta solutie? Mersi, Marius Da, imparte clasa pe segmente, iar accesul intre segmente sa se faca via gateway, in acest fel poti aplica filtre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] solutie firewall acelasi clasa ip-uri /24
On 07/21/2015 05:02 PM, mat.mar...@gmail.com wrote: Vreau sa implementez o solutie de firewall intre anumite hosturi din aceeasi clasa de IP-uri /24, acelasi VLAN Nu doresc sa modific arhitectura routingului in retea sau configuratia de retea/firewall local al celorlalte hosturi. Este o solutie viabila, folosirea unui firewall in aceasi clasa de ip-uri care sa se comporte ca si proxy arp? Mai puteti sugerati alta solutie? nu exista decit 2 variante mari si late - o masina intermediara (poate fi si transparenta, gen un firewall care lucreaza pe un bridge) prin care trece tot traficul si face filtrarea dupa gust - firewall pe fiecare host in cauza ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
