|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vassily Kiryanov 2:5054/36 22 Apr 2004 16:06:13
To : Igor Zemliansky
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
21 Apr 04 18:15, Igor Zemliansky wrote to Vassily Kiryanov:
IZ>>> Вопрос про оформление DMZ остается в силе.
VK>> Всё сильно зависит от того, что ты хочешь держать в своей DMZ и
VK>> как давать ей выходы внутрь и наружу.
IZ> Там будут сидеть следующие сервисы: SMTP, POP3, WEB-server,
IZ> Hummnigbird (тот же WEB), proxy, ftp-server. Для всех этих серверов
IZ> мне провайдер выделил белые адреса.
Белые адреса, причём в той же сетке что и внешний IP твоего файрволл, да?
IZ> Как минимум я могу поступить двумя
IZ> способами: 1. настроить маршратизацию между внешним интерфейсом моего
IZ> роутера и интерфейсом DMZ
Если будешь настраивать маршрутизацию между двумя этими интерфейсами, то
потеряешь на этом 2 IP адреса (белых!) и огребёшь необходимость объяснить
маршрутизатору провайдера, что все ваши белые IP нужно роутить на внешнний IP
твоего файрволла. Hеэкономное и неудобное решение, хотя работать будет.
IZ> 2. настроить PAT.
Ты имел в виду NAT? Hе знаю, каким боком его сюда приспособить, разве только с
portmap-ами на твоём файрволле всех портов сервисов DMZ. Странное решение, хотя
в принципе, реализуемо.
IZ> Возможно есть какие-то еще, более другие и, может
IZ> быть, более правильные способы реализации защищенной сети.
Я бы предложил на рассмотрение парочку:
3) водрузить bridge между карточкой, смотрящей к провайдеру и карточкой,
смотрящей в DMZ. Возможность держать DMZ под файрволлом остаётся, как в (1), но
пара белых IP не теряется. Самый простой вариант. Я бы, скорее всего, сделал
так.
4) DMZ на VPN. Все сервера со службами DMZ ставишь внутри, на серых адресах. Hа
файрволле поднимаешь poptop (можно и mpd, я просто с ним не работал) и
настраиваешь на приём pptp соединений. В файле паролей /etc/ppp/ppp.secret
заводишь пользователей для твоих серверов DMZ, каждому в третьей колонке
указываешь соответствующий белый IP. Poptop-у говоришь что ждать входящие
соединения надо на внутреннем сером IP. У серваков DMZ настраиваешь "новое
соединение" через VPN adapter, указываешь внутренний IP файрволла, имя и пароль
из файла ppp.secret, говоришь что дозваниваться автоматом сразу при включении.
Получаешь возможность гибко рулить своей системой, хотя и ценой некоторой
навороченности. При этом у твоих серваков DMZ будут и внутренние и внешние
адреса, подумай устраивает ли тебя это по безопасности.
Всего хорошего. "За верную и прибыльную дружбу!" (c) Яго.
Vassily
---
* Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
