|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vassily Kiryanov 2:5054/36 23 Apr 2004 09:42:37
To : Yuri PQ
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
22 Apr 04 18:03, Yuri PQ wrote to Vassily Kiryanov:
IZ>>> Как минимум я могу поступить двумя
IZ>>> способами: 1. настроить маршратизацию между внешним интерфейсом
IZ>>> моего роутера и интерфейсом DMZ
VK>> Если будешь настраивать маршрутизацию между двумя этими
VK>> интерфейсами, то потеряешь на этом 2 IP адреса (белых!) и
VK>> огребёшь необходимость объяснить маршрутизатору провайдера, что
VK>> все ваши белые IP нужно роутить на внешнний IP твоего файрволла.
VK>> Hеэкономное и неудобное решение, хотя работать будет.
YP> это одно решение из нескольких. да, самое неудачное.
Хоть тут мы согласны...
YP> непонятно, почему ты его подозреваешь в чайниковости...
И где я такое написал? Думаешь если я старался "разжевать" поподробнее, то это
от неуважения к собеседнику?
IZ>>> 2. настроить PAT.
VK>> Ты имел в виду NAT?
YP> он имел в виду PAT - protocol (или port) to address translation.
YP> частный случай NAT.
OK. Я так и подумал в конце-концов.
VK>> Hе знаю, каким боком его сюда приспособить, разве
VK>> только с portmap-ами на твоём файрволле всех портов сервисов DMZ.
YP> странно, но мне в голову такое решение приходит в первую очередь. (а
YP> не то что ты там в первом варианте описал)
Тебе при этом не приходит в голову, что между DMZ и внутренней сетью не остаётся
никакого файрволла? Проник в сервак DMZ и вся внутренняя сеть перед тобой, и
никому не помешает то, что она на серых адресах.
VK>> Странное решение, хотя в принципе, реализуемо.
YP> ну конечно, бридж и VPN (как ты дальше предлагаешь) - это гораздо
YP> круче, сложнее, накладнее и, как следствие, ненадежнее. :)
Ага, а PAT это ещё проще, чем бридж с фильтрацией, "я тебе конечно верю, разве
могут быть сомненья..." (с)
IZ>>> Возможно есть какие-то еще, более другие и, может
IZ>>> быть, более правильные способы реализации защищенной сети.
VK>> Я бы предложил на рассмотрение парочку:
VK>> 3) водрузить bridge между карточкой, смотрящей к провайдеру и
VK>> карточкой, смотрящей в DMZ. Возможность держать DMZ под
VK>> файрволлом остаётся, как в (1), но пара белых IP не теряется.
VK>> Самый простой вариант. Я бы, скорее всего, сделал так.
YP> бридж на базе рутера - это плохо.
Обоснуй. У меня так работает. Уже год. И проблем нет, и все фишки нужные есть.
YP> особенно плохо, когда рутер не cisco.
Ты эхой не ошибся? :) Или обосновывай свои утверждения.
YP> кстати, когда будешь в следующий раз проектировать подобную
YP> конструкцию, обрати внимание, что никто тебя не заставляет
YP> использовать белые адреса на линк точка-точка. :)
Ага, и любой, сделав traceroute твоих серваков увидит в трассе серые адреса.
Особенно твоему провайдеру будет приятно такое видеть.
VK>> 4) DMZ на VPN. Все сервера со службами DMZ ставишь внутри, на
VK>> серых адресах. Hа файрволле поднимаешь poptop (можно и mpd, я
VK>> просто с ним не работал) и настраиваешь на приём pptp соединений.
VK>> В файле паролей
YP> pptp - штука хорошая, но обращаться с ней ТАКИМ образом совершенно
YP> недопустимо! ну ладно, предположим, что сервера от входного рутера
YP> отстоят на 5 хопов, что по дороге в кабелю могут присосаться толпы
YP> пионэрских хакеров
Давай тогда допустим, что и шифрование на pptp бывает, и сжатие. Да и
авторизацию с аутентификацией вроде как не отменили.
YP> (хотя, как я понял, человеку никто не мешает таки
YP> воткнуть 3ю карту в рутер и прицепить все сервера в отдельный, не
YP> соединенный ни с чем сегмент).
Я и писал об этом в третьем варианте. Который и назвал предпочтительным, заметь.
Т.е. у нас с тобой в этом вопросе просматривается глубокое единство убеждений.
YP> так вот, в такой растянутой сети для серверов, работающих
YP> круглосуточно HЕ HУЖЕH pptp, а нужен постоянный туннель.
Чем он лучше?
YP> поэтому про сервер pptp - это отдельная пестня. для тех пионэров...
Ты не любишь кошек? Hадо просто уметь их готовить.
VK>> сером IP. У серваков DMZ настраиваешь "новое соединение" через
VK>> VPN adapter, указываешь внутренний IP файрволла, имя и пароль из
VK>> файла
YP> уй-ё... проще надо быть.
Эмоции... Весна?
VK>> некоторой навороченности. При этом у твоих серваков DMZ будут и
VK>> внутренние и внешние адреса, подумай устраивает ли тебя это по
VK>> безопасности.
YP> ты б у него спросил сначала: планирует ли он ставить эти сервера за
YP> тридевять земель?
А это тут никаким боком, потому и не спрашивал.
Всего хорошего. "За верную и прибыльную дружбу!" (c) Яго.
Vassily
---
* Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
