|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Vassily Kiryanov 2:5054/36 23 Apr 2004 11:08:38 To : Igor Zemliansky Subject : Создание firewall на базе FreeBSD. Требования к железу. -------------------------------------------------------------------------------- 22 Apr 04 17:57, Igor Zemliansky wrote to Vassily Kiryanov: IZ>>> 2. настроить PAT. VK>> Ты имел в виду NAT? Hе знаю, каким боком его сюда приспособить, VK>> разве только с portmap-ами на твоём файрволле всех портов VK>> сервисов DMZ. Странное решение, хотя в принципе, реализуемо. IZ> Я имел в виду именно PAT - Port Address Transaltion (в терминах Cisco IZ> http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/prodlit/px501_ds.htm IZ> ) IZ> То есть серверам в DMZ даю серые адреса. Внешний адрес моего роутера IZ> слушает все присвоенные мне белые адреса и мапит порты между белым и IZ> соотв. серым адресом в DMZ. Плохо то, что сервера DMZ имеют серые адреса, которые могут свободно общаться с внутренней сетью. Безопасность снижается. IZ>>> Возможно есть какие-то еще, более другие и, может IZ>>> быть, более правильные способы реализации защищенной сети. VK>> Я бы предложил на рассмотрение парочку: VK>> 3) водрузить bridge между карточкой, смотрящей к провайдеру и VK>> карточкой, смотрящей в DMZ. Возможность держать DMZ под VK>> файрволлом остаётся, как в (1), но пара белых IP не теряется. VK>> Самый простой IZ> Я что-то наверно не понимаю. При схеме "bridge" у меня все равно будет IZ> два интерфейса и оба будут принадлежать белой сети. Значит при такой IZ> схеме я тоже теряю два адреса. Или я не прав? Hет. Один интерфейс файрволла, внешний, имеет IP адрес. Другой, DMZ-шный своего IP адреса не имеет, он просто объединён в bridge-группу с внешним. Серваки в DMZ имеют только белые внешние адреса. Т.о. в файрволле ты имеешь возможность ограждать DMZ от инета, внутреннюю сеть от DMZ, а будешь ли ты ограждать внутреннюю сеть от инета или просто разделишь их напрочь, выбирать тебе. Я бы советовал второе. А выход из внутренней в инет пусть будет только через сервисы DMZ. VK>> 4) DMZ на VPN. Все сервера со службами DMZ ставишь внутри, на VK>> серых адресах. Hа файрволле поднимаешь poptop (можно и mpd, я VK>> просто с ним не работал) и настраиваешь на приём pptp соединений. VK>> В файле паролей /etc/ppp/ppp.secret заводишь пользователей для VK>> твоих серверов DMZ, каждому в третьей колонке указываешь VK>> соответствующий белый IP. Poptop-у говоришь что ждать входящие VK>> соединения надо на внутреннем сером IP. У серваков DMZ VK>> настраиваешь "новое соединение" через VPN adapter, указываешь VK>> внутренний IP файрволла, имя и пароль из файла VK>> ppp.secret, говоришь что дозваниваться автоматом сразу при VK>> включении. Получаешь возможность гибко рулить своей системой, VK>> хотя и ценой некоторой навороченности. При этом у твоих серваков VK>> DMZ будут и внутренние и внешние адреса, подумай устраивает ли VK>> тебя это по безопасности. IZ> Этот вариант для меня очень не прост. Hе страшно. Вполне делается. Могу помочь конфигами. IZ> А для машины, которую мне выделил вообще не по зубам. У меня на P-MMX-150 работал bridge с фильтрацией пакетов в ipfw, и ещё vpn-сервак был. Плюс роутинг. Всё работало без проблем. IZ> Hе совсем понимаю зачем следует IZ> использовать VPN в пределах одной машины. Чтобы серваки DMZ имели только одну сетевуху, но могли держать и белый и серый адреса. IZ> Только для того, что бы разруливать трафик между белыми и серывми IZ> адресами в DMZ? Ты бы мог в этом варианте фильтровать и траффик между серверов DMZ. Всего хорошего. "За верную и прибыльную дружбу!" (c) Яго. Vassily --- * Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.unix.bsd/18514088fc1c.html, оценка из 5, голосов 10
|