Добрый день!
Нужно помощь в планировании DMZ.
Есть выделенный пул из 16 IP (14 робочих)
За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/Имеем вот это:
INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN
|----DOMINO |----WEB+DNSПроблема в технической реализации...
Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие внутренние IP. Как обычно это делается? Благодарю за помощь.
DOMINO и WEB+DNS нах-ся в DMZ сегменте
>Добрый день!
>Нужно помощь в планировании DMZ.
>Есть выделенный пул из 16 IP (14 робочих)
>За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/
>
>Имеем вот это:
>
>INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN
>
>|----DOMINO |----WEB+DNS
>
>Проблема в технической реализации...
>Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
>
>Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие
>внутренние IP. Как обычно это делается? Благодарю за помощь.Не понятно у тебя 16 адресов всего (т.е. 1 адрес используется на роутере для сетевухи смотрящей в инет) или у тебя 16 адресов свободных?
Если свободные, тогда ничего сложного просто пропиши на сетевухе смотрящей в ДМЗ один из этих адресов и разреши роутинг между интерфейсами.
А если у тебя адреса не свободные... ну есть наверное вариант с arp-прокси но я его не знаю :-))) я бы сделал так, разбил 16 адресов на 2 подсетки по 8, один интерфейс на роутере в одну подсеть, другой в другую, и прова попросил бы ту подсеть которая для ДМЗ роутить на твой ИП смотрящий в инет. Собственно у меня так и работает только у меня не 2 сетки по 8, а 2 по 4 ИП.
Если че не понятно спрашивай ;-)
У меня 16 выделенных IP адресов от моего ISP. Из этих 16 - 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один будет на Router, а остальные хотелось бы раскидать между VOIP(его на схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться VPN Gateway, PROXY + Nat и за ним сеть с приватными IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы именно правильно т.к. это первый опыт в создании такой схемы, до этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan).Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить в SWITCH и от него просто на серваки или на ROUTER нужно карточку для каждого из серверов.
Благодарю за помощь.
>У меня 16 выделенных IP адресов от моего ISP. Из этих 16
>- 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один
>будет на Router, а остальные хотелось бы раскидать между VOIP(его на
>схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться
>VPN Gateway, PROXY + Nat и за ним сеть с приватными
>IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы
>именно правильно т.к. это первый опыт в создании такой схемы, до
>этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan).
Так, значит все таки 16 адресов всего... Ну тогда попробуй поискать про arp-proxy но что-то мне не верится что так можно что-нить сделать. Либо в ДМЗ используй серые ИП адреса а на внешнем интерфейсе сделай НАТ...>Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить
>в SWITCH и от него просто на серваки или на ROUTER
>нужно карточку для каждого из серверов.
Да в свич, если он управляемый можно все в один vlan загнать ;-)>Благодарю за помощь.
>Добрый день!
>Нужно помощь в планировании DMZ.
>Есть выделенный пул из 16 IP (14 робочих)
>За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/
>
>Имеем вот это:
>
>INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN
>
>
>
>
>
>
>
>
>
>|----DOMINO |----WEB+DNS
>
>Проблема в технической реализации...
>Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
>
>Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие
>внутренние IP. Как обычно это делается? Благодарю за помощь.мне кажется что все просто... сложнее будет с настройкой узлов.
может я не понимаю всей глубины проблемы? :)
если модем работает в режиме моста, то на 1-ом шлюзе будет белый адрес со стороны инета и со стороны DMZ, далее раздаем остльные белые адреса хостам находящимся в DMZ и не забываем про шлюз защищенной локальной сети, это будет шлюз-2. На шлюзе-2 карточка смотрящая в DMZ имеет белый адрес, а карточка смотрящая в защищеную сеть имеет серый адрес. Все машины защищенной локальной сети имеют серые адреса. на обоих шлюзах настраиваются FW в соответствии с поставленными задачами, маршрутизация и остальное барахло :) кстати NAT надо поднимать на шлюзе-2 или ставить прокси. Впрочем, это все вариации...
если не прав, то поправте...
| DMZ | | SECLan
inet---ADSL---GW1----switch---GW2---switch---SL_host1
| |
DNS,DOMINO,WEB |----SL_host2
>мне кажется что все просто... сложнее будет с настройкой узлов.
Да я думаю что вы правы. Сложность вы имеете ввиду в настройки политик FW?Как я вижу решений три:
1) Использовать на пограничном шлюзе NAT 1:1
2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html)Благодарю за ответ.
>>мне кажется что все просто... сложнее будет с настройкой узлов.
>Да я думаю что вы правы. Сложность вы имеете ввиду в настройки
>политик FW?
>
>Как я вижу решений три:
>
>1) Использовать на пограничном шлюзе NAT 1:1
>2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
>3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html)
>
>Благодарю за ответ.сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :)
1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов.
2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья.
3. можно и так.
>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать
>схему
Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался.>и проследить как будут ходить пакеты в оба направления, как
>для хостов защищенной сети, так и для DMZ. Просмотреть все возможные
>варианты,
Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью.
плюс ко всему не хватает базового знания IP> а потом уже приступать к настройке. обычно после первых двух
>этапов остается очень мало воросов :)
К настройке пока и не приступали, пока что только разработка схемы>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом
>находится сеть с "серыми" адресами,
Полностью согласен и изначально так и планировалось> а для хостов в DMZ NAT
>не нужен, т.к. они имеют "белые" адреса и поэтому видны с
>Internet без преобразования адресов.
Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER (1 Шлюз)
А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino,
IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ)
И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ???>3. можно и так.
Bridge? А если у меня впереди модем?Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...
>если модем работает в режиме моста, то на 1-ом шлюзе будет белый
>адрес со стороны инета и со стороны DMZ, далее раздаем остльные
>белые адреса хостам находящимся в DMZ и не забываем про шлюз
>защищенной локальной сети, это будет шлюз-2.
Вот интересно как вы себе представляете как это будет работать, раз у вас все так просто :-))) На вашем примере:
- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2, а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1 это шлюз прова)
- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить? неужели из сети 80.80.80.0/28???)
- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять из 80.80.80.0/28???)
Я правильно понял?То Rick:
Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее решение получится ;-)
>То Rick:
>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее
>решение получится ;-)Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор ISP а ADSL модем. И если так делать, то как я понимаю все равно надо будет либо договариваться с ISP на маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть возможность настройки ADSL модема в качестве бриджа тока тады вся моя схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или чего-то не допонимаю...
>>То Rick:
>>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее
>>решение получится ;-)
>
>Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор
>ISP а ADSL модем. И если так делать, то как я
>понимаю все равно надо будет либо договариваться с ISP на
>маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть
>возможность настройки ADSL модема в качестве бриджа тока тады вся моя
>схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или
>чего-то не допонимаю...Модем как бридж работает? Если да то ничего не надо с провом делать схема будет такая:
/ Server1 (Real IP 1)
INET <-> Modem(Bridge) <-> FreeBSD(Bridge) - Server2 (Real IP 2)
...\
Предыдущая схема не получилась :-)))))))))
INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)
>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать
>схему
Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался.>и проследить как будут ходить пакеты в оба направления, как
>для хостов защищенной сети, так и для DMZ. Просмотреть все возможные
>варианты,
Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью.
плюс ко всему не хватает базового знания IP> а потом уже приступать к настройке. обычно после первых двух
>этапов остается очень мало воросов :)
К настройке пока и не приступали, пока что только разработка схемы>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом
>находится сеть с "серыми" адресами,
Полностью согласен и изначально так и планировалось> а для хостов в DMZ NAT
>не нужен, т.к. они имеют "белые" адреса и поэтому видны с
>Internet без преобразования адресов.
Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER (1 Шлюз)
А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino,
IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ)
И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ???>3. можно и так.
Bridge? А если у меня впереди модем?Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...
>Предыдущая схема не получилась :-)))))))))
>
>
>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)Модем не Bridge
>>Предыдущая схема не получилась :-)))))))))
>>
>>
>>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)
>
>Модем не BridgeТ.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда побольше сведений дали с ИП например, ну замените там пару цифр ;-), но что бы логика сохранилась.
>Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда
>побольше сведений дали с ИП например, ну замените там пару цифр
>;-), но что бы логика сохранилась.PPPoA, Логика я думаю и так понятна... Сделать защищенную сеть с DMZ
>>если модем работает в режиме моста, то на 1-ом шлюзе будет белый
>>адрес со стороны инета и со стороны DMZ, далее раздаем остльные
>>белые адреса хостам находящимся в DMZ и не забываем про шлюз
>>защищенной локальной сети, это будет шлюз-2.
>Вот интересно как вы себе представляете как это будет работать, раз у
>вас все так просто :-))) На вашем примере:
>- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2,
>а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1
>это шлюз прова)
>- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить?
>неужели из сети 80.80.80.0/28???)
>- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять
>из 80.80.80.0/28???)согласен, пургу спорол... :(
То Rick:
решил быстро помочь, а сам элементарных вещей не проверил...
бывает. :)
Ребят, ну неужели ни кто не может подсказать?
>Ребят, ну неужели ни кто не может подсказать?Можешь написать ИП модема его маску + ИП выданной тебе в пользование подсети?
>>Ребят, ну неужели ни кто не может подсказать?
>
>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>подсети200.200.200.26-41 мой пул 255.255.255.240
соответственно:
200.200.200.26/28 Subnet
200.200.200.41/28 BroadcastПримерно хотелось бы так:
200.200.200.27/28 ADSL modem PPPoA
200.200.200.28/28 Router IN
??? 200.200.200.29/28 Router OUT DMZ ???
200.200.200.30/28 Domino
200.200.200.31/28 Web+DNS
200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
200.200.200.40/28 VoIP... Разумеется IP не реальные.
>>>Ребят, ну неужели ни кто не может подсказать?
>>
>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>>подсети
>
>200.200.200.26-41 мой пул 255.255.255.240
>
>соответственно:
>200.200.200.26/28 Subnet
>200.200.200.41/28 Broadcast
>
>Примерно хотелось бы так:
>200.200.200.27/28 ADSL modem PPPoA
>200.200.200.28/28 Router IN
>??? 200.200.200.29/28 Router OUT DMZ ???
>200.200.200.30/28 Domino
>200.200.200.31/28 Web+DNS
>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
>200.200.200.40/28 VoIP
>
>... Разумеется IP не реальные.Так не получится! В таком варианте вам поможет только разбиение на подсети и просба провайдера роутить одну из подсетей которая будет в ДМЗ на ваш мопед... и то при условии что Фрюшка будет бриджем... иначе если она будет роутером у вас не хватит ИП адресов.
>>>>Ребят, ну неужели ни кто не может подсказать?
>>>
>>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>>>подсети
>>
>>200.200.200.26-41 мой пул 255.255.255.240
>>
>>соответственно:
>>200.200.200.26/28 Subnet
>>200.200.200.41/28 Broadcast
>>
>>Примерно хотелось бы так:
>>200.200.200.27/28 ADSL modem PPPoA
>>200.200.200.28/28 Router IN
>>??? 200.200.200.29/28 Router OUT DMZ ???
>>200.200.200.30/28 Domino
>>200.200.200.31/28 Web+DNS
>>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
>>200.200.200.40/28 VoIP
>>
>>... Разумеется IP не реальные.
>
>Так не получится! В таком варианте вам поможет только разбиение на подсети
>и просба провайдера роутить одну из подсетей которая будет в ДМЗ
>на ваш мопед... и то при условии что Фрюшка будет бриджем...
>иначе если она будет роутером у вас не хватит ИП адресов.
>Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую карточку и выделять IP в две стороны? Хватит, просто для Proxy не будет пула. Я прав?
>Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую
>карточку и выделять IP в две стороны? Хватит, просто для Proxy
>не будет пула. Я прав?
Не очень понял что вы имели ввиду но я вижу пока 2 пути решения:
1. НАТINET <-> (1)ADSL(ROUTER + DNAT)(2) <-> (3)FreeBSD(Bridge)(4) <-> (5)Servers
Адреса:
1 - 200.200.200.27/28 + проброс IP
200.200.200.28/28 -> 10.0.0.2
200.200.200.29/28 -> 10.0.0.3
2 - 10.0.0.1/24
3 - none
4 - none
5 - 10.0.0.2-254/242. Router
разбиваем вашу сеть например так:
200.200.200.26/30
200.200.200.30/30
200.200.200.34/29
INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers
Адреса:
1 - 200.200.200.27/30
2 - 200.200.200.31/30
3 - 200.200.200.32/30
4 - 200.200.200.35/29
5 - 200.200.200.36-40/29
Ну и просим что бы пров все у себя настоил что бы на вас был роутинг
>2. Router
>
>разбиваем вашу сеть например так:
>200.200.200.26/30
>200.200.200.30/30
>200.200.200.34/29
>
>
>INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers
>Адреса:
>1 - 200.200.200.27/30
>2 - 200.200.200.31/30
>3 - 200.200.200.32/30
>4 - 200.200.200.35/29
>5 - 200.200.200.36-40/29
>Ну и просим что бы пров все у себя настоил что бы
>на вас был роутингВот я за это и был... Тока отсюда у меня и был вопрос,
>(3)FreeBSD(ROUTER)(4)
>3 - 200.200.200.32/30
>4 - 200.200.200.35/29
Это не будет петлёй?
И еще, мне не понятно каким образом выше предлагали настроить без роутинга от прова?? Для меня загадка.
Благодарю за помощь! ;-)
>Вот я за это и был... Тока отсюда у меня и был
>вопрос,
>>(3)FreeBSD(ROUTER)(4)
>>3 - 200.200.200.32/30
>>4 - 200.200.200.35/29
>Это не будет петлёй?
Почему это должно быть петлей?> И еще, мне не понятно каким образом выше предлагали настроить без
>роутинга от прова?? Для меня загадка.
Вы про пример с НАТом? Для меня теперь тоже :-))) ну не подумал :-)))
>> И еще, мне не понятно каким образом выше предлагали настроить без
>>роутинга от прова?? Для меня загадка.
>Вы про пример с НАТом? Для меня теперь тоже :-))) ну не
>подумал :-)))
Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна в случае с НАТом и пробросом IP настройка роутинга у прова ;-)
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна
>в случае с НАТом и пробросом IP настройка роутинга у прова
>;-)
:-)
Нет я про совет от krim:
>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>3. можно и так.
Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не дойду.. Ведь в интернете будет видет тока IP модема?
И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?>Почему это должно быть петлей?
Дык и не пойму почему, мне почему-то доказывали что будет ;-)
>Нет я про совет от krim:
>>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>>3. можно и так.
>Я так понял krim предложил вариант без NAT и сказал что это
>будет работать без роутинга от провайдера. Вот я и не дойду..
>Ведь в интернете будет видет тока IP модема?
>И как через IP модема можно будет из интернета увидеть (без NAT
>и ISP Routing-а) белые адреса в DMZ?
См сообщение №10 ;-)>>Почему это должно быть петлей?
>Дык и не пойму почему, мне почему-то доказывали что будет ;-)
Ну пусть приведут доказательства :-)))
>>и ISP Routing-а) белые адреса в DMZ?
>См сообщение №10 ;-)
Эт все моя не внимательность....
>
>>>Почему это должно быть петлей?
>>Дык и не пойму почему, мне почему-то доказывали что будет ;-)
>Ну пусть приведут доказательства :-)))
Ok! попрошу.
Я очень благодарен Вам за помощь, впереди еще техническая реализация, разговоры с провайдером etc. Я все таки скланяюсь к Вашему варианту без NAT. В долгу оставаться не хочу, для Вас хочу предложить приглашение на kpnemo.ru, нужен Ваш email
>В долгу оставаться не хочу, для Вас хочу предложить приглашение на
>kpnemo.ru, нужен Ваш email
Не знаю что это,после обеда посмотрю :-)... если что стучитесь: ICQ 6O738O3O
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна
>в случае с НАТом и пробросом IP настройка роутинга у прова
>;-)
:-)
Нет я про совет от krim:
>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>3. можно и так.
Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не допру.. Ведь в интернете будет видет тока IP модема?
И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?>Почему это должно быть петлей?
Дык и не пойму почему, мне почему-то доказывали что будет ;-)
IMHO если Вы не хотите разбивать выделенные адреса на несколько подсетей, то нужно настраивать бридж. Вот здесь (http://securityportal.ru/network/FilterBridge.html) неплохо все расписано.
Т.е. будет примерно так:
ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW
>ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW
У меня модем не бриджом, как я писал выше.
>(http://securityportal.ru/network/FilterBridge.html)
Спасибо как раз и читал, и выше приводил ссылку