|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Semenyaka 2:461/640.640 07 Feb 2006 23:50:12
To : Sergey Matveychuk
Subject : Как удобнее раздавать сырцы/порты?
--------------------------------------------------------------------------------
07 Feb 06 22:21, you wrote to me:
>> EG>>> Вообще-то вся идея DMZ состоит в абсолютном запрете трафика
>> EG>>> между DMZ и внутренней сетью, не так ли?
>> AS>> Hе так :)
>> AY> Hу почти так. Идея состоит в том, что общедоступные сервисы (www,
>> AY> mail) выносятся в отдельный сегмент, который отделен и от инета и
>> AY> от внутренней сети файрволом. Чтоб в случае взлома этого www или
>> AY> mail сервера с него нельзя было проникнуть во внутреннюю сеть.
>> Вот это верно. При этом сервисы из DMZ в идеале сами ходить во
>> внутреннюю сеть не могут, но из внутренней сети к ним вполне возможны
>> ограниченные обращения. А абсолютный запрет трафика между DMZ и
>> внутренней сетью - это чепуха какая-то...
SM> У меня сделано именно так. Сервер который обновляет порты через cvsup
SM> стоит в DMZ. К нему разрешены NFS mounts из внутренней сетки. Доступа с
SM> этого сервера к внутренней сетке нет.
Абсолютно верно. Из внутренней сети в DMZ можно, из DMZ во внутреннюю сеть
нельзя.
Alex
--- IMHO в последней инстанции
* Origin: ...можжевеловых... (2:461/640.640)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
