Вопрос такой.
Есть работающий шлюз под FreeBSD(natd) и есть домен Win2003 в локалке(172.18.0.0/16). Необходимо организовать доступ к серваку, который является контроллером домена и сервером ДНС из инета. Переадресация портов меня не устраивает. Хочу сделать DMZ таким способом: поставить третью сетевуху на шлюзе с реальным IP + поднять на контроллере домена вторую сетевуху с реальным IP.
Правильно ли я делаю? И как лучше это всё организовать?
>Вопрос такой.
>Есть работающий шлюз под FreeBSD(natd) и есть домен Win2003 в локалке(172.18.0.0/16). Необходимо
>организовать доступ к серваку, который является контроллером домена и сервером ДНС
>из инета. Переадресация портов меня не устраивает. Хочу сделать DMZ таким
>способом: поставить третью сетевуху на шлюзе с реальным IP + поднять
>на контроллере домена вторую сетевуху с реальным IP.
>Правильно ли я делаю? И как лучше это всё организовать?
Зачем тебе на контроллер две сетевухи вешать. Поставь его в ДМЗ с одним реальным IP и запускай на него как снаружи так и изнутри...
>Вопрос такой.
>Есть работающий шлюз под FreeBSD(natd) и есть домен Win2003 в локалке(172.18.0.0/16). Необходимо
>организовать доступ к серваку, который является контроллером домена и сервером ДНС
>из инета. Переадресация портов меня не устраивает. Хочу сделать DMZ таким
>способом: поставить третью сетевуху на шлюзе с реальным IP + поднять
>на контроллере домена вторую сетевуху с реальным IP.
>Правильно ли я делаю? И как лучше это всё организовать?ну если адреса некуда девать, то можно пожертвовать парочкой .. :-)) Вот только не жалко Win таким образом в сеть выкидывать? Все-таки контроллер домена .. А ежели сломают? Весь домен встанет ..
И чем редирект не устраивает?
>>Правильно ли я делаю?
Нет. Несекурно и некошерно.
inet
|
V
ext_IP
FreeBSD 172.16.31.1 -> 172.16.31.2 DC (Win)
172.16.16.1
|
V
172.16.16.2-254
subnet
Запрещаем маршрутизацию и какие-либо обращения 172.16.16.0 <-> 172.16.31.0
Портмаппинг нужных портов 172.16.31.2 -> ext_IP + распределяем какие порты
можно видеть с инета, какие нет, к каким можно обращаться из основной подсети - соответственно пишем ipfw rules.
Тады гордо вздёрнув нос можем назвать это DMZ.
Вообще мелькнула такая идея :
в принципе никаких извращений не требуется, достаточно
на фре какого-нибудь dnsproxy, dns_balance или чего-то подобного.
>Вообще мелькнула такая идея :
>в принципе никаких извращений не требуется, достаточно
>на фре какого-нибудь dnsproxy, dns_balance или чего-то подобного.
Единственная причина для держания ДНС на виндовой машине - ActiveDirectory. Такое используется для корпоративной работы. Вывод - организовать туннель.