[Samba-it] Firewall?
Diego Zuccato
ndk.clanbo at gmail.com
Fri Apr 24 01:06:41 MDT 2009
Il 24 aprile 2009 8.48, Paolo Sala <piviul at riminilug.it> ha scritto:
> Diego Zuccato scrisse in data 24/04/2009 08:39:
>> Laboratorio con un po' di PC fissi ed un po' di portatili.
>> Devo fare in modo che la gente non scolleghi i fissi per collegare i portatili.
> Basta avere un cavo di rete in più... continuo a non capire...
No. L'utente di un portatile è "non identificato", dato che sul
portatile potrebbe avere di tutto.
>> La soluzione a cui avevo pensato è di mettere tutto su una subnet
>> privata, isolata dal resto.
> quale resto? Il tutto sono i pc+portatili?
Il lab fa ovviamente parte di una struttura più ampia, ed il tutto è
connesso ad Internet.
Fuori dal lab ci sono altre risorse (server e stampanti) a cui i
portatili non devono accedere ma i fissi si.
> Quindi parlimo di linux? i PC fissi hanno samba e gli utenti sono
> autenticati tramite winbind?
Si, parliamo di Linux (almeno per i fissi... purtroppo sui portatili,
come dicevo, può esserci di tutto), altrimenti non chiederei su una ML
dedicata a Samba. :-)
>> Sarebbe carino se potessero usare il
>> fatto di essere joinati per risultare automaticamente raggiungibili
>> dal resto della rete (gli assegno un indirizzo pubblico statico).
> Quindi non è una lan?
Certo che è una lan. Perché non dovrebbe esserlo?
Anche su una LAN puoi avere IP pubblici...
>> Più chiaro ora? :-)
> ...veramente ci ho capito ancor meno. :-[
> ...ci rinuncio.
Eppure non mi sembra difficile.
Prova a pensare ai PC "aperti al pubblico" in una biblioteca.
Se, mentre la bibliotecaria è impegnata, arriva uno che stacca il
fisso (con il suo sw di controllo accessi ed identificazione utenti) e
collega un portatile, poi riesce a fare quel che gli pare in rete in
modo anonimo (navigare, inviare SPAM, attaccare altri PC, mandare
stampe di migliaia di pagine su stampanti a getto...).
Se invece, sostituendo al fisso il portatile non riuscisse ad avere
accesso alla rete, la situazione sarebbe molto più tranquilla per i
responsabili della rete...
La difficoltà "extra" è che il PC fisso deve essere raggiungibile
dalla rete (per telemanutenzione o altro) anche se nessuno è loggato
(e quindi non va bene una soluzione a captive portal, e visto che di
PC ce ne sono vari non si può neanche mettere un "virtual server" sul
gateway.
Quello che speravo di fare (ed il motivo per cui ho chiesto qui) era
di sfruttare il fatto che le macchine fossero joinate ad AD per
evitare di creare ulteriori chiavi.
BYtE,
Diego.
More information about the samba-it
mailing list