|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Lunyov 2:5059/20.5 26 Apr 2004 17:34:06
To : Yuri PQ
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
** Yuri PQ => Alexander Lunyov
>>>>>>> лично я сторонник статического NAT'а. т.е. никакая DMZ просто не
>>>>>>> нужна. ставишь маршрутизатор, один "честный" IP,
AL>>>>>> А если у тебя этих "честных" > 1 ?
>>>>> тогда еще проще. тогда можно использовать не PAT, а более полноценный
>>>>> NAT.
AL>>>> Зачем что-то куда-то пробрасывать, когда можно просто пророутить? :)
>>> белые адреса?! ну-ну...
AL>> Hет, роутить надо не "адреса", а "пакеты".
> хорошо: "HА белые адреса".
То есть следует читать как "HА белые адреса?! ну-ну..."? Всё равно не
понимаю суть иронии "ну-ну...".
AL>> Hо да - по белым адресам. Интернет состоит из белых адресов. Пакеты по
AL>> белым адресам в большинстве случаев нормально роутятся. В чем
AL>> проблема?
> в эффективности их использования. например, в рассматриваемой ситуации
> очень эффективно белые адреса используются на линке точка-точка.
Линк точка-точка на последней миле, согласен, может посидеть и в серых. А
вот серверу таки лучше дать белый. Кстати, сейчас как раз с провайдером
утрясываю ситуацию, когда белый IP был назначен модему prestige_645r, в то
время как мне он нужен на интерфейсе эхотажного сервера. Как вариант
рассматривается превращение модема в bridge. Ведем переговоры. Пока ни до чего
не договорились.
AL>>>> что между шлюзом во внешний мир и шлюзом в серую сеть - тишина и
AL>>>> покой. Hу, разрешил ты на пограничном шлюзе коннект внутрь DMZ на
AL>>>> определенный IP:port - надежность (или ты всё же о безопасности?)
AL>>>> ровно такая же, если пробрасывать порт внутрь серой сети.
>>> такая же.
AL>> Если нет разницы, зачем тратить процессорное время на NAT? :)
> ну тогда посчитай процессорное время на файрволле, который будет нужен
> вместо NAT...
Я не знаток тонкостей ядра и процессов, но вот мои умозаключения:
0. есть сервер, из внешнего мира доступ должен быть к 25 и к 80 порту.
1. вариант с сервером в серых адресах и NAT - NAT'у придется прокидывать
легитимные пакеты (25,80) внутрь, а это в любом случае бОльшая часть трафика
(остальной трафик будет опадать желтыми листьями у стен NAT'а). В любом случае,
будет фыраволл с правилами
add divert ${natd} tcp from any to any via ${oif}
и плюс юзерлендовский процесс natd, прокачивающий через себя трафик
(пускай даже только на нужные порты).
2. вариант с белыми адресами и fw - достаточно правил:
add allow tcp from any to any established
add allow tcp from any to me 80,25 setup in via ${oif}
add deny ip from any to any
И усе. Думаешь, у ядерного ipfw велика нагрузка по сравнению с natd'ом? Я
думаю, ipfw будет менее жруч, чем natd. Можно, конечно, посчитать, но опять
же, я не совсем знаю, как проводить такие измерения.
* bye
---
* Origin: no sex until marriage! (c) Front242 (2:5059/20.5)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
