freebsd 6.2
щас рисую такую картину: inet <-> шлюз <-> DMZ-сервер <-> локалка
локалка имеет доступ только в DMZ
на DMZ-сервере установлены http-proxy, mail сервер, dns-кэширующий сервер, ftp-proxy, антивирь
разные подсети для DMZ и локалки
смущает то, что у дмз тоже адрес внутренних сетей, как убежать от ната на шлюзе?
нат тормозит, нат грузит, нат плохой, хочу без ната, напрямую с дмз в инет слать запросы
выделять отдельный айпишник для дмз? ещё хуже гружёный столькими демонами сервер к инету подключать.
как это по-мудрому организовать?
>[оверквотинг удален]
>локалка имеет доступ только в DMZ
>на DMZ-сервере установлены http-proxy, mail сервер, dns-кэширующий сервер, ftp-proxy, антивирь
>разные подсети для DMZ и локалки
>смущает то, что у дмз тоже адрес внутренних сетей, как убежать от
>ната на шлюзе?
>нат тормозит, нат грузит, нат плохой, хочу без ната, напрямую с дмз
>в инет слать запросы
>выделять отдельный айпишник для дмз? ещё хуже гружёный столькими демонами сервер к
>инету подключать.
>как это по-мудрому организовать?Сами то поняли что сказали ? Галиматья однака!
>Сами то поняли что сказали ? Галиматья однака!нормально всё сказано
упрощу для ущербных:
как посылать запросы из локалки за шлюзом в инет без НАТа?
почитайте вот эту статью, например: http://eproxy.etype.net/NAT
начитавшись таких статей ищу самый безопасный способ избавления от НАТ.
не понял, хотите в инет отправлять пакеты с адресами источника из серых подсетей?
>не понял, хотите в инет отправлять пакеты с адресами источника из серых
>подсетей?вообщем-то я хочу и рыбку съесть и на сучок не напороться
с одной стороны с помощью специализированных проксей можно избавиться от НАТ
с другой стороны для этого нужно подключать сервер с демонами этих самых проксей в памяти напрямую к инету
а для безопасности лучше использовать шлюз с 2-3мя безобидными демонами, типа syslogd, trafd и т.д.
вот и возникает вопрос - как это грамотно организовать?
может 1 IP для шлюза, 2 IP для DMZ и пускать весь траф через шлюз как-то? или шлюз там уже не решает при реальном IP?
вообщем, ищу мудрое и безопасное решение
>>Сами то поняли что сказали ? Галиматья однака!
>
>нормально всё сказано
>упрощу для ущербных:
>как посылать запросы из локалки за шлюзом в инет без НАТа?
>почитайте вот эту статью, например: http://eproxy.etype.net/NAT
>начитавшись таких статей ищу самый безопасный способ избавления от НАТ.В данной статье автор кажется четко объясняет как - использовать (покупать) его решение.
Расхожий способ расхваливать свой продукт, предварительно "доказав" что это единственный способ.