|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Igor Zemliansky 2:5020/400 04 Nov 2005 00:35:40
To : Igor Zemliansky
Subject : Re: Организация простой DMZ
--------------------------------------------------------------------------------
Hello, Igor!
You wrote to All on Thu, 3 Nov 2005 18:09:39 +0000 (UTC):
IZ> Как следует раздавать адреса на интерфейсах машины, являющейся
IZ> сервером DMZ?
IZ> В двух словах: на машине, являющейся сервером DMZ (DMZ_Srv) есть три
IZ> сетевых интерфейса для подключения к сети Интернет (if_0), к
IZ> локальной сети фирмы (if_1) и к тем серверам, которые стоят в
IZ> демилитаризованной зоне (if_2).
IZ> Понятно, что if_0 и if_1 не лежат в одной подсети и не могут (да и
IZ> не должны) видеть друг друга. Hе могу сообразить в какую подсеть
IZ> отнести if_2.
IZ> Пока вижу два варианта: а) отнести их одновременно к двум подсетям,
IZ> присвоив алиасы соответствующим сетевым интерфейсам; б) отнести к
IZ> сети if_0 а порты ответственных служб (почта, прокси) выставить в
IZ> локальную сеть посредством либо мапинга либо поднять nat на DMZ_Srv.
IZ> Держать nat или заморачиваться port-mapping'ом не очень хочеться, по
IZ> этому склоняюсь к варианту а), но я не уверен, что это правильно. А
IZ> что вы посоветуете?
Уточнение: if_0 имеет адрес из сети 212.90.x.y/28; if_2 имеет адрес из сети
192.168.0.0/24.
Пока ехал домой на ум пришла еще одна идея. Интерфейсу if_2 и серверам,
подключенным к нему могу оставить адреса сети интернет из диапазона
212.90.x.y/28. Между if_0 и if_2 поднять мост, а между if_2 и if_1 прописать
статический маршрут. Hа сколько правильный мой выбор?
--------
Best regards. Igor Zemliansky
i.zemliansky(dog)gmail(point)com
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Организация простой DMZ 
