|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Yuri PQ 2:5010/2.2 23 Apr 2004 14:32:18
To : Vassily Kiryanov
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
Ку!
[040423] Vassily Kiryanov (2:5054/36) Д> Yuri PQ
YP>> странно, но мне в голову такое решение приходит в первую очередь.
YP>> (а не то что ты там в первом варианте описал)
VK> Тебе при этом не приходит в голову, что между DMZ и внутренней сетью
VK> не остаётся никакого файрволла?
потому как в этом случае нет никакой DMZ...
VK> Проник в сервак DMZ и вся внутренняя сеть перед тобой, и никому не
VK> помешает то, что она на серых адресах.
как ты себе представляешь это "проникновение" через PAT ?
YP>> ну конечно, бридж и VPN (как ты дальше предлагаешь) - это гораздо
YP>> круче, сложнее, накладнее и, как следствие, ненадежнее. :)
VK> Ага, а PAT это ещё проще, чем бридж с фильтрацией, "я тебе конечно
VK> верю, разве могут быть сомненья..." (с)
поскольку там уже есть NAT, проще настроить на нем PAT, чем городить бридж.
YP>> бридж на базе рутера - это плохо.
VK> Обоснуй. У меня так работает. Уже год. И проблем нет, и все фишки
VK> нужные есть.
да, работает, не сомневаюсь, но за счет какого оверхеда? бриджи хороши на
спец.железках, а на универсальных железках - это неоправданная трата ресурсов.
как показывает практика, ресурсов на бриджинг уходит больше, чем на рутинг.
YP>> особенно плохо, когда рутер не cisco.
VK> Ты эхой не ошибся? :) Или обосновывай свои утверждения.
циско более заточены под работу в качестве сетевого устройства. и бриджинг на
них осуществляется более эффективно, чем на PC.
YP>> кстати, когда будешь в следующий раз проектировать подобную
YP>> конструкцию, обрати внимание, что никто тебя не заставляет
YP>> использовать белые адреса на линк точка-точка. :)
VK> Ага, и любой, сделав traceroute твоих серваков увидит в трассе серые
VK> адреса. Особенно твоему провайдеру будет приятно такое видеть.
не хочешь показывать серые адреса - сделай тоннель. и вообще, в данном случае
речь была не про конкретный случай, а про использование белых адресов под
служебные линки...
YP>> pptp - штука хорошая, но обращаться с ней ТАКИМ образом совершенно
YP>> недопустимо! ну ладно, предположим, что сервера от входного рутера
YP>> отстоят на 5 хопов, что по дороге в кабелю могут присосаться толпы
YP>> пионэрских хакеров
VK> Давай тогда допустим, что и шифрование на pptp бывает, и сжатие.
и на статических туннелях оно бывает.
VK> Да и авторизацию с аутентификацией вроде как не отменили.
а смысл в этом какой, если это по сути статические туннели?
YP>> (хотя, как я понял, человеку никто не мешает таки
YP>> воткнуть 3ю карту в рутер и прицепить все сервера в отдельный, не
YP>> соединенный ни с чем сегмент).
VK> Я и писал об этом в третьем варианте. Который и назвал
VK> предпочтительным, заметь. Т.е. у нас с тобой в этом вопросе
VK> просматривается глубокое единство убеждений.
ты писал про бриджинг... я же предлагаю его избежать.
YP>> так вот, в такой растянутой сети для серверов, работающих
YP>> круглосуточно HЕ HУЖЕH pptp, а нужен постоянный туннель.
VK> Чем он лучше?
тем, что не надо ставить лишние программы.
YP>> поэтому про сервер pptp - это отдельная пестня. для тех
YP>> пионэров...
VK> Ты не любишь кошек? Hадо просто уметь их готовить.
кошки = pptp ? люблю, пару лет уже использую. прихожу домой, включаю тачку... а
вот зачем нужен pptp на сервере, у которого uptime несколько сотен суток - этого
я не пойму никогда, наверное.
VK>>> некоторой навороченности. При этом у твоих серваков DMZ будут и
VK>>> внутренние и внешние адреса, подумай устраивает ли тебя это по
VK>>> безопасности.
YP>> ты б у него спросил сначала: планирует ли он ставить эти сервера
YP>> за тридевять земель?
VK> А это тут никаким боком, потому и не спрашивал.
как это?! если эти сервера находятся в изолированном сегменте, да все 3 сегмента
(внешний, внутренний и "DMZ") сходятся на одном рутере с firewall'ом, то кто
мешает тем же firewall'ом оградить "DMZ" от внутреннего сегмента, если есть
сомнения?
а если за 39 земель, то естественно, ни о каком простом решении речь не идет.
Ку! 8*{PQ}
--- GoldED 1.1.5-030118
* Origin: а вот ЭТОГО не помню! (2:5010/2.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
