Re: [Ciotoflow] rete hackit 0x10: LAN, architettura e Serviz…

Delete this message

Reply to this message
Autor: ono-sendai
Data:  
Para: ciotoflow
Assunto: Re: [Ciotoflow] rete hackit 0x10: LAN, architettura e Servizi
On 19/05/2013 14:26, Giuseppe De Marco wrote:
> Forse sarebbe meglio un disegno... Vabè...
>
> ######### Media Lab - Sala Macchine #############
>
> 2 Server di frontiera, P4 con almeno 2GB di ram ( si accettano donazioni in
> RAM ), 4 Schede di rete a testa.


Un dualcore con 3 giga di ram lo possiamo prendere dalla P2,ha gia' una scheda
di rete,un'altra la dovrei avere io casa.

> <Reti e cablaggi dei Servers> Note: l'ordine di assegnazione và forzato,
> altrimenti al riavvio i cablaggi perdono coerenza, pertanto o funziona
> "/etc/udev/rules.d/70-persistent-net.rules" oppure si ricorre a script di
> boot. Solo reti di massimo 254 computer (classe C), 254 - 1 (il server).
>
> #PC1


> eth1: 192.1.1.1, nome-rete: libreria-lanspace eth2: 192.1.2.1, nome-rete:
> area-aperta-1


Il lan space deve (imho) essere almeno /23 quindi area-aperta-1 non puo' avere
2.1 e cosi' a cascata :)


> Applicazioni Servers: Polipo Proxy con CacheOnDisk      (rimuoviamo anche i
> banners/ads please ! :) )


Anche se migliora le prestazioni diminuendo riscaricaggi inutili io non userei
*assolutamente* alcun proxy/cache. Ci smazziamo la uallera con privacy ecc
ecc...la cache lascerebbe inevitabilmente delle tracce. Penso che in
hackmeeting sia preferibile una rete lenta ma che rispetti la privacy. A tal
proposito ridurrei all'indispensabile i log sui vari dispositivi (magari
anonimizzando mac/ip o altre info che non precludano la risoluzione di
eventuali guasti)

> dnsmasq come dhcp-server e DNS cache (cache-size=1000 -> 150 hosts,
> aumentiamo!)


no cache :)


> SNORT IPS                                      (da attivare solo su #PC2)


Stesso motivo aggravato dai log!A che ci serve un IPS? Con iptables possiamo
permettere connessioni in uscita solo tramite tor,ssh e vpn per chi non vuole
usare i due mezzi precedenti. Ricordo che dobbiamo tutelare le reti che
ospiteranno il traffico di hackmeeting! L'unica cosa e' gestire il load
balancing su questi accessi (minimo 2 consigliati 4 )


> Utilizzare vecchi Servers, es. dual p3 di verdebinario. Fare laboratorio di
> networking a verde per preparare e testare le macchine (tests doverosi
> prima del disastro !!!), macchine che sopportano bene tante schede di
> rete.


Ottima idea!Giovedi networking :)