|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Igor Zemliansky 2:5020/400 22 Apr 2004 17:57:51
To : Vassily Kiryanov
Subject : Re: Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
Vassily Kiryanov wrote.
IZ>>>> Вопрос про оформление DMZ остается в силе.
VK>>> Всё сильно зависит от того, что ты хочешь держать в своей DMZ и
VK>>> как давать ей выходы внутрь и наружу.
IZ>> Там будут сидеть следующие сервисы: SMTP, POP3, WEB-server,
IZ>> Hummnigbird (тот же WEB), proxy, ftp-server. Для всех этих серверов
IZ>> мне провайдер выделил белые адреса.
VK> Белые адреса, причём в той же сетке что и внешний IP твоего файрволл,
VK> да?
IZ>> Как минимум я могу поступить двумя
IZ>> способами: 1. настроить маршратизацию между внешним интерфейсом моего
IZ>> роутера и интерфейсом DMZ
VK> Если будешь настраивать маршрутизацию между двумя этими интерфейсами,
VK> то потеряешь на этом 2 IP адреса (белых!) и огребёшь необходимость
VK> объяснить маршрутизатору провайдера, что все ваши белые IP нужно
VK> роутить на внешнний IP твоего файрволла. Hеэкономное и неудобное
VK> решение, хотя работать будет.
Здесь я думал именно о bridge, а не router. Ошибся, когда писАл.
IZ>> 2. настроить PAT.
VK> Ты имел в виду NAT? Hе знаю, каким боком его сюда приспособить, разве
VK> только с portmap-ами на твоём файрволле всех портов сервисов DMZ.
VK> Странное решение, хотя в принципе, реализуемо.
Я имел в виду именно PAT - Port Address Transaltion (в терминах Cisco
http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/prodlit/px501_ds.htm)
То есть серверам в DMZ даю серые адреса. Внешний адрес моего роутера слушает
все присвоенные мне белые адреса и мапит порты между белым и соотв. серым
адресом в DMZ.
IZ>> Возможно есть какие-то еще, более другие и, может
IZ>> быть, более правильные способы реализации защищенной сети.
VK> Я бы предложил на рассмотрение парочку:
VK> 3) водрузить bridge между карточкой, смотрящей к провайдеру и
VK> карточкой, смотрящей в DMZ. Возможность держать DMZ под файрволлом
VK> остаётся, как в (1), но пара белых IP не теряется. Самый простой
Я что-то наверно не понимаю. При схеме "bridge" у меня все равно будет два
интерфейса и оба будут принадлежать белой сети. Значит при такой схеме я
тоже теряю два адреса. Или я не прав?
VK> вариант. Я бы, скорее всего, сделал так.
VK> 4) DMZ на VPN. Все сервера со службами DMZ ставишь внутри, на серых
VK> адресах. Hа файрволле поднимаешь poptop (можно и mpd, я просто с ним не
VK> работал) и настраиваешь на приём pptp соединений. В файле паролей
VK> /etc/ppp/ppp.secret заводишь пользователей для твоих серверов DMZ,
VK> каждому в третьей колонке указываешь соответствующий белый IP. Poptop-у
VK> говоришь что ждать входящие соединения надо на внутреннем сером IP. У
VK> серваков DMZ настраиваешь "новое соединение" через VPN adapter,
VK> указываешь внутренний IP файрволла, имя и пароль из файла ppp.secret,
VK> говоришь что дозваниваться автоматом сразу при включении. Получаешь
VK> возможность гибко рулить своей системой, хотя и ценой некоторой
VK> навороченности. При этом у твоих серваков DMZ будут и внутренние и
VK> внешние адреса, подумай устраивает ли тебя это по безопасности.
Этот вариант для меня очень не прост. А для машины, которую мне выделил
вообще не по зубам. Hе совсем понимаю зачем следует использовать VPN в
пределах одной машины. Только для того, что бы разруливать трафик между
белыми и серывми адресами в DMZ?
--------
Best regards. Igor Zemliansky
automatic(at)hotmail(dot)ru
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
