URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 51214
[ Назад ]

Исходное сообщение
"Схема DMZ"
Отправлено mayd , 03-Дек-04 18:11

Вопрос такой.
Есть работающий шлюз под FreeBSD(natd) и есть домен Win2003 в локалке(172.18.0.0/16). Необходимо организовать доступ к серваку, который является контроллером домена и сервером ДНС из инета. Переадресация портов меня не устраивает. Хочу сделать DMZ таким способом: поставить третью сетевуху на шлюзе с реальным IP + поднять на контроллере домена вторую сетевуху с реальным IP.
Правильно ли я делаю? И как лучше это всё организовать?

Содержание

Схема DMZ,k, 12:52 , 10-Дек-04
Схема DMZ,FelixS, 13:02 , 10-Дек-04
Схема DMZ,IZh, 14:26 , 10-Дек-04
Схема DMZ,IZh, 14:39 , 10-Дек-04
- Схема DMZ,_KAV_, 14:58 , 10-Дек-04

Сообщения в этом обсуждении

"Схема DMZ"
Отправлено k , 10-Дек-04 12:52

>Вопрос такой.
>Есть работающий шлюз под FreeBSD(natd) и есть домен Win2003 в локалке(172.18.0.0/16). Необходимо
>организовать доступ к серваку, который является контроллером домена и сервером ДНС
>из инета. Переадресация портов меня не устраивает. Хочу сделать DMZ таким
>способом: поставить третью сетевуху на шлюзе с реальным IP + поднять
>на контроллере домена вторую сетевуху с реальным IP.
>Правильно ли я делаю? И как лучше это всё организовать?

Зачем тебе на контроллер две сетевухи вешать. Поставь его в ДМЗ с одним реальным IP и запускай на него как снаружи так и изнутри...

"Схема DMZ"
Отправлено FelixS , 10-Дек-04 13:02

>Вопрос такой.
>Есть работающий шлюз под FreeBSD(natd) и есть домен Win2003 в локалке(172.18.0.0/16). Необходимо
>организовать доступ к серваку, который является контроллером домена и сервером ДНС
>из инета. Переадресация портов меня не устраивает. Хочу сделать DMZ таким
>способом: поставить третью сетевуху на шлюзе с реальным IP + поднять
>на контроллере домена вторую сетевуху с реальным IP.
>Правильно ли я делаю? И как лучше это всё организовать?
ну если адреса некуда девать, то можно пожертвовать парочкой .. :-)) Вот только не жалко Win таким образом в сеть выкидывать? Все-таки контроллер домена .. А ежели сломают? Весь домен встанет ..
И чем редирект не устраивает?

"Схема DMZ"
Отправлено IZh , 10-Дек-04 14:26

>>Правильно ли я делаю?
Нет. Несекурно и некошерно.
   inet
     |
     V
    ext_IP
  FreeBSD  172.16.31.1 -> 172.16.31.2 DC (Win)
172.16.16.1
     |
     V
  172.16.16.2-254
   subnet
Запрещаем маршрутизацию и какие-либо обращения 172.16.16.0 <-> 172.16.31.0
Портмаппинг нужных портов 172.16.31.2 -> ext_IP + распределяем какие порты
можно видеть с инета, какие нет, к каким можно обращаться из основной подсети - соответственно пишем ipfw rules.
Тады гордо вздёрнув нос можем назвать это DMZ.

"Схема DMZ"
Отправлено IZh , 10-Дек-04 14:39

Вообще мелькнула такая идея :
в принципе никаких извращений не требуется, достаточно
на фре какого-нибудь dnsproxy, dns_balance или чего-то подобного.

"Схема DMZ"
Отправлено _KAV_ , 10-Дек-04 14:58

>Вообще мелькнула такая идея :
>в принципе никаких извращений не требуется, достаточно
>на фре какого-нибудь dnsproxy, dns_balance или чего-то подобного.
Единственная причина для держания ДНС на виндовой машине - ActiveDirectory. Такое используется для корпоративной работы. Вывод - организовать туннель.