|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vassily Kiryanov 2:5054/36 23 Apr 2004 11:08:38
To : Igor Zemliansky
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
22 Apr 04 17:57, Igor Zemliansky wrote to Vassily Kiryanov:
IZ>>> 2. настроить PAT.
VK>> Ты имел в виду NAT? Hе знаю, каким боком его сюда приспособить,
VK>> разве только с portmap-ами на твоём файрволле всех портов
VK>> сервисов DMZ. Странное решение, хотя в принципе, реализуемо.
IZ> Я имел в виду именно PAT - Port Address Transaltion (в терминах Cisco
IZ> http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/prodlit/px501_ds.htm
IZ> )
IZ> То есть серверам в DMZ даю серые адреса. Внешний адрес моего роутера
IZ> слушает все присвоенные мне белые адреса и мапит порты между белым и
IZ> соотв. серым адресом в DMZ.
Плохо то, что сервера DMZ имеют серые адреса, которые могут свободно общаться с
внутренней сетью. Безопасность снижается.
IZ>>> Возможно есть какие-то еще, более другие и, может
IZ>>> быть, более правильные способы реализации защищенной сети.
VK>> Я бы предложил на рассмотрение парочку:
VK>> 3) водрузить bridge между карточкой, смотрящей к провайдеру и
VK>> карточкой, смотрящей в DMZ. Возможность держать DMZ под
VK>> файрволлом остаётся, как в (1), но пара белых IP не теряется.
VK>> Самый простой
IZ> Я что-то наверно не понимаю. При схеме "bridge" у меня все равно будет
IZ> два интерфейса и оба будут принадлежать белой сети. Значит при такой
IZ> схеме я тоже теряю два адреса. Или я не прав?
Hет. Один интерфейс файрволла, внешний, имеет IP адрес. Другой, DMZ-шный своего
IP адреса не имеет, он просто объединён в bridge-группу с внешним. Серваки в DMZ
имеют только белые внешние адреса. Т.о. в файрволле ты имеешь возможность
ограждать DMZ от инета, внутреннюю сеть от DMZ, а будешь ли ты ограждать
внутреннюю сеть от инета или просто разделишь их напрочь, выбирать тебе. Я бы
советовал второе. А выход из внутренней в инет пусть будет только через сервисы
DMZ.
VK>> 4) DMZ на VPN. Все сервера со службами DMZ ставишь внутри, на
VK>> серых адресах. Hа файрволле поднимаешь poptop (можно и mpd, я
VK>> просто с ним не работал) и настраиваешь на приём pptp соединений.
VK>> В файле паролей /etc/ppp/ppp.secret заводишь пользователей для
VK>> твоих серверов DMZ, каждому в третьей колонке указываешь
VK>> соответствующий белый IP. Poptop-у говоришь что ждать входящие
VK>> соединения надо на внутреннем сером IP. У серваков DMZ
VK>> настраиваешь "новое соединение" через VPN adapter, указываешь
VK>> внутренний IP файрволла, имя и пароль из файла
VK>> ppp.secret, говоришь что дозваниваться автоматом сразу при
VK>> включении. Получаешь возможность гибко рулить своей системой,
VK>> хотя и ценой некоторой навороченности. При этом у твоих серваков
VK>> DMZ будут и внутренние и внешние адреса, подумай устраивает ли
VK>> тебя это по безопасности.
IZ> Этот вариант для меня очень не прост.
Hе страшно. Вполне делается. Могу помочь конфигами.
IZ> А для машины, которую мне выделил вообще не по зубам.
У меня на P-MMX-150 работал bridge с фильтрацией пакетов в ipfw, и ещё
vpn-сервак был. Плюс роутинг. Всё работало без проблем.
IZ> Hе совсем понимаю зачем следует
IZ> использовать VPN в пределах одной машины.
Чтобы серваки DMZ имели только одну сетевуху, но могли держать и белый и серый
адреса.
IZ> Только для того, что бы разруливать трафик между белыми и серывми
IZ> адресами в DMZ?
Ты бы мог в этом варианте фильтровать и траффик между серверов DMZ.
Всего хорошего. "За верную и прибыльную дружбу!" (c) Яго.
Vassily
---
* Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
