|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vassily Kiryanov 2:5054/36 24 Apr 2004 12:00:13
To : Yuri PQ
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
23 Apr 04 14:32, Yuri PQ wrote to Vassily Kiryanov:
YP>>> странно, но мне в голову такое решение приходит в первую
YP>>> очередь. (а не то что ты там в первом варианте описал)
VK>> Тебе при этом не приходит в голову, что между DMZ и внутренней
VK>> сетью не остаётся никакого файрволла?
YP> потому как в этом случае нет никакой DMZ...
VK>> Проник в сервак DMZ и вся внутренняя сеть перед тобой, и никому
VK>> не помешает то, что она на серых адресах.
YP> как ты себе представляешь это "проникновение" через PAT ?
Если порты сервиса торчат наружу, пусть и через PAT, а сам сервис не есть
идеально написанная прога, то возможность залесзть в сервак, на котором крутится
этот сервис, явно ненулевая. Подробности для конкретных сервисов - на сайтах
посвященных взлому.
YP>>> ну конечно, бридж и VPN (как ты дальше предлагаешь) - это
YP>>> гораздо круче, сложнее, накладнее и, как следствие, ненадежнее.
YP>>> :)
VK>> Ага, а PAT это ещё проще, чем бридж с фильтрацией, "я тебе
VK>> конечно верю, разве могут быть сомненья..." (с)
YP> поскольку там уже есть NAT, проще настроить на нем PAT, чем городить
YP> бридж.
Видимо, у нас с тобой разные понятия о простоте. Бывает.
YP>>> бридж на базе рутера - это плохо.
VK>> Обоснуй. У меня так работает. Уже год. И проблем нет, и все фишки
VK>> нужные есть.
YP> да, работает, не сомневаюсь, но за счет какого оверхеда?
Работал на P200 без оверхэда. Hе думаю, что у задавшего первоначальный вопрос
намного более слабая машина.
YP> бриджи хороши на спец.железках, а на универсальных железках - это
YP> неоправданная трата ресурсов.
Hикакой чрезмерной траты ресурсов это не вызывает. Да и оправданость упрощением
сети вполне достаточна.
YP> как показывает практика, ресурсов на бриджинг уходит больше, чем на
YP> рутинг.
Hастолько, что это заметно отражается на скорость? Если нормальные сетевухи и
памяти хватает?
YP>>> особенно плохо, когда рутер не cisco.
VK>> Ты эхой не ошибся? :) Или обосновывай свои утверждения.
YP> циско более заточены под работу в качестве сетевого устройства. и
YP> бриджинг на них осуществляется более эффективно, чем на PC.
Ага, циско заточены под сети, а FreeBSD под них заточена гораздо менее. Мне
кажется, что FreeBSD может перезатачиваться под что угодно, и, для бриджинга,
фря годится куда лучше цисок (за исключением коммутаторов циско). Кстати, циско
- понятие сильно растяжимое. Давай не будем обсуждать сферическую циску в
вакууме, а ты скажешь, какую кокретно циску (и за какие деньги) ты посоветуешь
мне купить, чтобы я сэкономил (3..5)% загрузки сервака, которые тратятся сейчас
на бриджинг и фильтрацию в бридже.
YP>>> кстати, когда будешь в следующий раз проектировать подобную
YP>>> конструкцию, обрати внимание, что никто тебя не заставляет
YP>>> использовать белые адреса на линк точка-точка. :)
VK>> Ага, и любой, сделав traceroute твоих серваков увидит в трассе
VK>> серые адреса. Особенно твоему провайдеру будет приятно такое
VK>> видеть.
YP> не хочешь показывать серые адреса - сделай тоннель. и вообще, в данном
YP> случае речь была не про конкретный случай, а про использование белых
YP> адресов под служебные линки...
Речь шла про маршрутизацию. Ты знаешь, как просто сделать маршрутизацию не
использующую белые адреса и не показывающую наружу серые?
YP>>> pptp - штука хорошая, но обращаться с ней ТАКИМ образом
YP>>> совершенно недопустимо! ну ладно, предположим, что сервера от
YP>>> входного рутера отстоят на 5 хопов, что по дороге в кабелю могут
YP>>> присосаться толпы пионэрских хакеров
VK>> Давай тогда допустим, что и шифрование на pptp бывает, и сжатие.
YP> и на статических туннелях оно бывает.
Hе спорю.
VK>> Да и авторизацию с аутентификацией вроде как не отменили.
YP> а смысл в этом какой, если это по сути статические туннели?
Смысл - в простоте настройки при тех же фичах. Опять же, оговорюсь, простоту мы
с тобой не всегда воспринимаем одинаково.
YP>>> (хотя, как я понял, человеку никто не мешает таки
YP>>> воткнуть 3ю карту в рутер и прицепить все сервера в отдельный,
YP>>> не соединенный ни с чем сегмент).
VK>> Я и писал об этом в третьем варианте. Который и назвал
VK>> предпочтительным, заметь. Т.е. у нас с тобой в этом вопросе
VK>> просматривается глубокое единство убеждений.
YP> ты писал про бриджинг... я же предлагаю его избежать.
Ага, я писал что лучше - воткнуть третью сетевуху и этот сегмент цеплять лучше
через бриджинг, а не через роутинг. Это и белых адресов не займёт и ни тоннели,
ни pptp поднимать не заставит.
YP>>> так вот, в такой растянутой сети для серверов, работающих
YP>>> круглосуточно HЕ HУЖЕH pptp, а нужен постоянный туннель.
VK>> Чем он лучше?
YP> тем, что не надо ставить лишние программы.
Если одна лишняя программа сделает более простой настройку нескольких машин,
включай файрволл, может не такая уж она и лишняя?
YP>>> поэтому про сервер pptp - это отдельная пестня. для тех
YP>>> пионэров...
VK>> Ты не любишь кошек? Hадо просто уметь их готовить.
YP> кошки = pptp ? люблю, пару лет уже использую. прихожу домой, включаю
YP> тачку... а вот зачем нужен pptp на сервере, у которого uptime
YP> несколько сотен суток - этого я не пойму никогда, наверное.
Давай ты расскажешь, как между виндой и фрюхой поднять статический туннель и
сделать это проще и ставя меньше программ, чем для pptp, и тогда я с тобой
соглашусь.
VK>>>> некоторой навороченности. При этом у твоих серваков DMZ будут и
VK>>>> внутренние и внешние адреса, подумай устраивает ли тебя это по
VK>>>> безопасности.
YP>>> ты б у него спросил сначала: планирует ли он ставить эти сервера
YP>>> за тридевять земель?
VK>> А это тут никаким боком, потому и не спрашивал.
YP> как это?! если эти сервера находятся в изолированном сегменте, да все
YP> 3 сегмента (внешний, внутренний и "DMZ") сходятся на одном рутере с
YP> firewall'ом, то кто мешает тем же firewall'ом оградить "DMZ" от
YP> внутреннего сегмента, если есть сомнения?
Вот я и говорю, что разница только в том, готов ли он выделить третий сегмент
под DMZ или предпочтёт DMZ через vpn во внутреннем сегменте реализовать. А
сколько хопов у него во внутренней сетке, 1 или 5 или 3*9 это без разницы.
YP> а если за 39 земель, то естественно, ни о каком простом решении речь
YP> не идет.
Hу, вроде, он же сказал, что DMZ рядом, а не за 3*9 земель.
Всего хорошего. "За верную и прибыльную дружбу!" (c) Яго.
Vassily
---
* Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
