|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Yuri PQ 2:5010/2.2 22 Apr 2004 18:03:32
To : Vassily Kiryanov
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
[040422] Vassily Kiryanov (2:5054/36) Д> Igor Zemliansky
IZ>> Как минимум я могу поступить двумя
IZ>> способами: 1. настроить маршратизацию между внешним интерфейсом
IZ>> моего роутера и интерфейсом DMZ
VK> Если будешь настраивать маршрутизацию между двумя этими интерфейсами,
VK> то потеряешь на этом 2 IP адреса (белых!) и огребёшь необходимость
VK> объяснить маршрутизатору провайдера, что все ваши белые IP нужно
VK> роутить на внешнний IP твоего файрволла. Hеэкономное и неудобное
VK> решение, хотя работать будет.
это одно решение из нескольких. да, самое неудачное. непонятно, почему ты его
подозреваешь в чайниковости...
IZ>> 2. настроить PAT.
VK> Ты имел в виду NAT?
он имел в виду PAT - protocol (или port) to address translation. частный случай
NAT.
VK> Hе знаю, каким боком его сюда приспособить, разве
VK> только с portmap-ами на твоём файрволле всех портов сервисов DMZ.
странно, но мне в голову такое решение приходит в первую очередь. (а не то что
ты там в первом варианте описал)
VK> Странное решение, хотя в принципе, реализуемо.
ну конечно, бридж и VPN (как ты дальше предлагаешь) - это гораздо круче,
сложнее, накладнее и, как следствие, ненадежнее. :)
IZ>> Возможно есть какие-то еще, более другие и, может
IZ>> быть, более правильные способы реализации защищенной сети.
VK> Я бы предложил на рассмотрение парочку:
VK> 3) водрузить bridge между карточкой, смотрящей к провайдеру и
VK> карточкой, смотрящей в DMZ. Возможность держать DMZ под файрволлом
VK> остаётся, как в (1), но пара белых IP не теряется. Самый простой
VK> вариант. Я бы, скорее всего, сделал так.
бридж на базе рутера - это плохо. особенно плохо, когда рутер не cisco. кстати,
когда будешь в следующий раз проектировать подобную конструкцию, обрати
внимание, что никто тебя не заставляет использовать белые адреса на линк
точка-точка. :)
VK> 4) DMZ на VPN. Все сервера со службами DMZ ставишь внутри, на серых
VK> адресах. Hа файрволле поднимаешь poptop (можно и mpd, я просто с ним
VK> не работал) и настраиваешь на приём pptp соединений. В файле паролей
pptp - штука хорошая, но обращаться с ней ТАКИМ образом совершенно недопустимо!
ну ладно, предположим, что сервера от входного рутера отстоят на 5 хопов, что по
дороге в кабелю могут присосаться толпы пионэрских хакеров (хотя, как я понял,
человеку никто не мешает таки воткнуть 3ю карту в рутер и прицепить все сервера
в отдельный, не соединенный ни с чем сегмент). так вот, в такой растянутой сети
для серверов, работающих круглосуточно HЕ HУЖЕH pptp, а нужен постоянный
туннель. поэтому про сервер pptp - это отдельная пестня. для тех пионэров...
VK> сером IP. У серваков DMZ настраиваешь "новое соединение" через VPN
VK> adapter, указываешь внутренний IP файрволла, имя и пароль из файла
уй-ё... проще надо быть.
VK> некоторой навороченности. При этом у твоих серваков DMZ будут и
VK> внутренние и внешние адреса, подумай устраивает ли тебя это по
VK> безопасности.
ты б у него спросил сначала: планирует ли он ставить эти сервера за тридевять
земель?
Ку! 8*{PQ}
--- GoldED 1.1.5-030118
* Origin: навязанное добро - это зло (2:5010/2.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
