- Подскажите с планированием DMZ..., Rick, 09:20 , 11-Апр-07 (1)
DOMINO и WEB+DNS нах-ся в DMZ сегменте - Подскажите с планированием DMZ..., muhlik, 10:11 , 11-Апр-07 (2)
>Добрый день! >Нужно помощь в планировании DMZ. >Есть выделенный пул из 16 IP (14 робочих) >За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/ > >Имеем вот это: > >INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN > >|----DOMINO |----WEB+DNS > >Проблема в технической реализации... >Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать? > >Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие >внутренние IP. Как обычно это делается? Благодарю за помощь. Не понятно у тебя 16 адресов всего (т.е. 1 адрес используется на роутере для сетевухи смотрящей в инет) или у тебя 16 адресов свободных? Если свободные, тогда ничего сложного просто пропиши на сетевухе смотрящей в ДМЗ один из этих адресов и разреши роутинг между интерфейсами. А если у тебя адреса не свободные... ну есть наверное вариант с arp-прокси но я его не знаю :-))) я бы сделал так, разбил 16 адресов на 2 подсетки по 8, один интерфейс на роутере в одну подсеть, другой в другую, и прова попросил бы ту подсеть которая для ДМЗ роутить на твой ИП смотрящий в инет. Собственно у меня так и работает только у меня не 2 сетки по 8, а 2 по 4 ИП. Если че не понятно спрашивай ;-)
- Подскажите с планированием DMZ..., Rick, 10:24 , 11-Апр-07 (3)
У меня 16 выделенных IP адресов от моего ISP. Из этих 16 - 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один будет на Router, а остальные хотелось бы раскидать между VOIP(его на схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться VPN Gateway, PROXY + Nat и за ним сеть с приватными IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы именно правильно т.к. это первый опыт в создании такой схемы, до этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan). Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить в SWITCH и от него просто на серваки или на ROUTER нужно карточку для каждого из серверов. Благодарю за помощь.
- Подскажите с планированием DMZ..., muhlik, 10:47 , 11-Апр-07 (4)
>У меня 16 выделенных IP адресов от моего ISP. Из этих 16 >- 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один >будет на Router, а остальные хотелось бы раскидать между VOIP(его на >схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться >VPN Gateway, PROXY + Nat и за ним сеть с приватными >IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы >именно правильно т.к. это первый опыт в создании такой схемы, до >этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan). Так, значит все таки 16 адресов всего... Ну тогда попробуй поискать про arp-proxy но что-то мне не верится что так можно что-нить сделать. Либо в ДМЗ используй серые ИП адреса а на внешнем интерфейсе сделай НАТ...>Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить >в SWITCH и от него просто на серваки или на ROUTER >нужно карточку для каждого из серверов. Да в свич, если он управляемый можно все в один vlan загнать ;-) >Благодарю за помощь.
- Подскажите с планированием DMZ..., krim, 13:40 , 11-Апр-07 (5)
>Добрый день! >Нужно помощь в планировании DMZ. >Есть выделенный пул из 16 IP (14 робочих) >За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/ > >Имеем вот это: > >INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN > > > > > > > > > >|----DOMINO |----WEB+DNS > >Проблема в технической реализации... >Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать? > >Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие >внутренние IP. Как обычно это делается? Благодарю за помощь. мне кажется что все просто... сложнее будет с настройкой узлов. может я не понимаю всей глубины проблемы? :) если модем работает в режиме моста, то на 1-ом шлюзе будет белый адрес со стороны инета и со стороны DMZ, далее раздаем остльные белые адреса хостам находящимся в DMZ и не забываем про шлюз защищенной локальной сети, это будет шлюз-2. На шлюзе-2 карточка смотрящая в DMZ имеет белый адрес, а карточка смотрящая в защищеную сеть имеет серый адрес. Все машины защищенной локальной сети имеют серые адреса. на обоих шлюзах настраиваются FW в соответствии с поставленными задачами, маршрутизация и остальное барахло :) кстати NAT надо поднимать на шлюзе-2 или ставить прокси. Впрочем, это все вариации... если не прав, то поправте... | DMZ | | SECLan inet---ADSL---GW1----switch---GW2---switch---SL_host1 | | DNS,DOMINO,WEB |----SL_host2
- Подскажите с планированием DMZ..., Rick, 14:00 , 11-Апр-07 (6)
>мне кажется что все просто... сложнее будет с настройкой узлов. Да я думаю что вы правы. Сложность вы имеете ввиду в настройки политик FW?Как я вижу решений три: 1) Использовать на пограничном шлюзе NAT 1:1 2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг 3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html) Благодарю за ответ.
- Подскажите с планированием DMZ..., krim, 14:44 , 11-Апр-07 (9)
>>мне кажется что все просто... сложнее будет с настройкой узлов. >Да я думаю что вы правы. Сложность вы имеете ввиду в настройки >политик FW? > >Как я вижу решений три: > >1) Использовать на пограничном шлюзе NAT 1:1 >2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг >3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html) > >Благодарю за ответ. сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :) 1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов. 2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья. 3. можно и так.
- Подскажите с планированием DMZ..., Rick, 15:33 , 11-Апр-07 (13)
>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать >схему Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался.>и проследить как будут ходить пакеты в оба направления, как >для хостов защищенной сети, так и для DMZ. Просмотреть все возможные >варианты, Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью. плюс ко всему не хватает базового знания IP > а потом уже приступать к настройке. обычно после первых двух >этапов остается очень мало воросов :) К настройке пока и не приступали, пока что только разработка схемы >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом >находится сеть с "серыми" адресами, Полностью согласен и изначально так и планировалось > а для хостов в DMZ NAT >не нужен, т.к. они имеют "белые" адреса и поэтому видны с >Internet без преобразования адресов. Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER (1 Шлюз) А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino, IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ) И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ??? >3. можно и так. Bridge? А если у меня впереди модем? Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...
- Подскажите с планированием DMZ..., muhlik, 14:27 , 11-Апр-07 (7)
>если модем работает в режиме моста, то на 1-ом шлюзе будет белый >адрес со стороны инета и со стороны DMZ, далее раздаем остльные >белые адреса хостам находящимся в DMZ и не забываем про шлюз >защищенной локальной сети, это будет шлюз-2. Вот интересно как вы себе представляете как это будет работать, раз у вас все так просто :-))) На вашем примере: - "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2, а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1 это шлюз прова) - "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить? неужели из сети 80.80.80.0/28???) - "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять из 80.80.80.0/28???) Я правильно понял?То Rick: Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее решение получится ;-)
- Подскажите с планированием DMZ..., Rick, 14:42 , 11-Апр-07 (8)
>То Rick: >Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее >решение получится ;-) Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор ISP а ADSL модем. И если так делать, то как я понимаю все равно надо будет либо договариваться с ISP на маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть возможность настройки ADSL модема в качестве бриджа тока тады вся моя схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или чего-то не допонимаю...
- Подскажите с планированием DMZ..., muhlik, 15:05 , 11-Апр-07 (11)
>>То Rick: >>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее >>решение получится ;-) > >Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор >ISP а ADSL модем. И если так делать, то как я >понимаю все равно надо будет либо договариваться с ISP на >маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть >возможность настройки ADSL модема в качестве бриджа тока тады вся моя >схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или >чего-то не допонимаю... Модем как бридж работает? Если да то ничего не надо с провом делать схема будет такая: / Server1 (Real IP 1) INET <-> Modem(Bridge) <-> FreeBSD(Bridge) - Server2 (Real IP 2) ... \
- Подскажите с планированием DMZ..., muhlik, 15:08 , 11-Апр-07 (12)
Предыдущая схема не получилась :-))))))))) INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)
- Подскажите с планированием DMZ..., Rick, 15:34 , 11-Апр-07 (14)
>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать >схему Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался. >и проследить как будут ходить пакеты в оба направления, как >для хостов защищенной сети, так и для DMZ. Просмотреть все возможные >варианты, Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью. плюс ко всему не хватает базового знания IP > а потом уже приступать к настройке. обычно после первых двух >этапов остается очень мало воросов :) К настройке пока и не приступали, пока что только разработка схемы >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом >находится сеть с "серыми" адресами, Полностью согласен и изначально так и планировалось > а для хостов в DMZ NAT >не нужен, т.к. они имеют "белые" адреса и поэтому видны с >Internet без преобразования адресов. Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER (1 Шлюз) А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino, IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ) И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ??? >3. можно и так. Bridge? А если у меня впереди модем? Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы... - Подскажите с планированием DMZ..., Rick, 15:37 , 11-Апр-07 (15)
>Предыдущая схема не получилась :-))))))))) > > >INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)Модем не Bridge
- Подскажите с планированием DMZ..., muhlik, 16:33 , 11-Апр-07 (16)
>>Предыдущая схема не получилась :-))))))))) >> >> >>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc) > >Модем не Bridge Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда побольше сведений дали с ИП например, ну замените там пару цифр ;-), но что бы логика сохранилась.
- Подскажите с планированием DMZ..., Rick, 19:57 , 11-Апр-07 (17)
>Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда >побольше сведений дали с ИП например, ну замените там пару цифр >;-), но что бы логика сохранилась. PPPoA, Логика я думаю и так понятна... Сделать защищенную сеть с DMZ
- Подскажите с планированием DMZ..., krim, 14:57 , 11-Апр-07 (10)
>>если модем работает в режиме моста, то на 1-ом шлюзе будет белый >>адрес со стороны инета и со стороны DMZ, далее раздаем остльные >>белые адреса хостам находящимся в DMZ и не забываем про шлюз >>защищенной локальной сети, это будет шлюз-2. >Вот интересно как вы себе представляете как это будет работать, раз у >вас все так просто :-))) На вашем примере: >- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2, >а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1 >это шлюз прова) >- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить? >неужели из сети 80.80.80.0/28???) >- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять >из 80.80.80.0/28???) согласен, пургу спорол... :( То Rick: решил быстро помочь, а сам элементарных вещей не проверил... бывает. :)
- Подскажите с планированием DMZ..., Rick, 07:11 , 12-Апр-07 (18)
Ребят, ну неужели ни кто не может подсказать?
- Подскажите с планированием DMZ..., muhlik, 17:05 , 12-Апр-07 (19)
>Ребят, ну неужели ни кто не может подсказать? Можешь написать ИП модема его маску + ИП выданной тебе в пользование подсети?
- Подскажите с планированием DMZ..., Rick, 08:08 , 13-Апр-07 (20)
>>Ребят, ну неужели ни кто не может подсказать? > >Можешь написать ИП модема его маску + ИП выданной тебе в пользование >подсети200.200.200.26-41 мой пул 255.255.255.240 соответственно: 200.200.200.26/28 Subnet 200.200.200.41/28 Broadcast Примерно хотелось бы так: 200.200.200.27/28 ADSL modem PPPoA 200.200.200.28/28 Router IN ??? 200.200.200.29/28 Router OUT DMZ ??? 200.200.200.30/28 Domino 200.200.200.31/28 Web+DNS 200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT 200.200.200.40/28 VoIP ... Разумеется IP не реальные.
- Подскажите с планированием DMZ..., muhlik, 10:13 , 13-Апр-07 (22)
>>>Ребят, ну неужели ни кто не может подсказать? >> >>Можешь написать ИП модема его маску + ИП выданной тебе в пользование >>подсети > >200.200.200.26-41 мой пул 255.255.255.240 > >соответственно: >200.200.200.26/28 Subnet >200.200.200.41/28 Broadcast > >Примерно хотелось бы так: >200.200.200.27/28 ADSL modem PPPoA >200.200.200.28/28 Router IN >??? 200.200.200.29/28 Router OUT DMZ ??? >200.200.200.30/28 Domino >200.200.200.31/28 Web+DNS >200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT >200.200.200.40/28 VoIP > >... Разумеется IP не реальные. Так не получится! В таком варианте вам поможет только разбиение на подсети и просба провайдера роутить одну из подсетей которая будет в ДМЗ на ваш мопед... и то при условии что Фрюшка будет бриджем... иначе если она будет роутером у вас не хватит ИП адресов.
- Подскажите с планированием DMZ..., Rick, 11:28 , 13-Апр-07 (23)
>>>>Ребят, ну неужели ни кто не может подсказать? >>> >>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование >>>подсети >> >>200.200.200.26-41 мой пул 255.255.255.240 >> >>соответственно: >>200.200.200.26/28 Subnet >>200.200.200.41/28 Broadcast >> >>Примерно хотелось бы так: >>200.200.200.27/28 ADSL modem PPPoA >>200.200.200.28/28 Router IN >>??? 200.200.200.29/28 Router OUT DMZ ??? >>200.200.200.30/28 Domino >>200.200.200.31/28 Web+DNS >>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT >>200.200.200.40/28 VoIP >> >>... Разумеется IP не реальные. > >Так не получится! В таком варианте вам поможет только разбиение на подсети >и просба провайдера роутить одну из подсетей которая будет в ДМЗ >на ваш мопед... и то при условии что Фрюшка будет бриджем... >иначе если она будет роутером у вас не хватит ИП адресов. >Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую карточку и выделять IP в две стороны? Хватит, просто для Proxy не будет пула. Я прав?
- Подскажите с планированием DMZ..., muhlik, 11:49 , 13-Апр-07 (25)
>Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую >карточку и выделять IP в две стороны? Хватит, просто для Proxy >не будет пула. Я прав? Не очень понял что вы имели ввиду но я вижу пока 2 пути решения: 1. НАТINET <-> (1)ADSL(ROUTER + DNAT)(2) <-> (3)FreeBSD(Bridge)(4) <-> (5)Servers Адреса: 1 - 200.200.200.27/28 + проброс IP 200.200.200.28/28 -> 10.0.0.2 200.200.200.29/28 -> 10.0.0.3 2 - 10.0.0.1/24 3 - none 4 - none 5 - 10.0.0.2-254/24 2. Router разбиваем вашу сеть например так: 200.200.200.26/30 200.200.200.30/30 200.200.200.34/29 INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers Адреса: 1 - 200.200.200.27/30 2 - 200.200.200.31/30 3 - 200.200.200.32/30 4 - 200.200.200.35/29 5 - 200.200.200.36-40/29 Ну и просим что бы пров все у себя настоил что бы на вас был роутинг
- Подскажите с планированием DMZ..., Rick, 12:29 , 13-Апр-07 (26)
>2. Router > >разбиваем вашу сеть например так: >200.200.200.26/30 >200.200.200.30/30 >200.200.200.34/29 > > >INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers >Адреса: >1 - 200.200.200.27/30 >2 - 200.200.200.31/30 >3 - 200.200.200.32/30 >4 - 200.200.200.35/29 >5 - 200.200.200.36-40/29 >Ну и просим что бы пров все у себя настоил что бы >на вас был роутинг Вот я за это и был... Тока отсюда у меня и был вопрос, >(3)FreeBSD(ROUTER)(4) >3 - 200.200.200.32/30 >4 - 200.200.200.35/29 Это не будет петлёй? И еще, мне не понятно каким образом выше предлагали настроить без роутинга от прова?? Для меня загадка. Благодарю за помощь! ;-)
- Подскажите с планированием DMZ..., muhlik, 12:40 , 13-Апр-07 (27)
>Вот я за это и был... Тока отсюда у меня и был >вопрос, >>(3)FreeBSD(ROUTER)(4) >>3 - 200.200.200.32/30 >>4 - 200.200.200.35/29 >Это не будет петлёй? Почему это должно быть петлей?> И еще, мне не понятно каким образом выше предлагали настроить без >роутинга от прова?? Для меня загадка. Вы про пример с НАТом? Для меня теперь тоже :-))) ну не подумал :-)))
- Подскажите с планированием DMZ..., muhlik, 13:53 , 13-Апр-07 (28)
>> И еще, мне не понятно каким образом выше предлагали настроить без >>роутинга от прова?? Для меня загадка. >Вы про пример с НАТом? Для меня теперь тоже :-))) ну не >подумал :-))) Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна в случае с НАТом и пробросом IP настройка роутинга у прова ;-) - Подскажите с планированием DMZ..., Rick, 14:23 , 13-Апр-07 (29)
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна >в случае с НАТом и пробросом IP настройка роутинга у прова >;-) :-) Нет я про совет от krim: >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов. >2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья. >3. можно и так. Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не дойду.. Ведь в интернете будет видет тока IP модема? И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?>Почему это должно быть петлей? Дык и не пойму почему, мне почему-то доказывали что будет ;-) - Подскажите с планированием DMZ..., muhlik, 14:31 , 13-Апр-07 (31)
>Нет я про совет от krim: >>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов. >>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья. >>3. можно и так. >Я так понял krim предложил вариант без NAT и сказал что это >будет работать без роутинга от провайдера. Вот я и не дойду.. >Ведь в интернете будет видет тока IP модема? >И как через IP модема можно будет из интернета увидеть (без NAT >и ISP Routing-а) белые адреса в DMZ? См сообщение №10 ;-)>>Почему это должно быть петлей? >Дык и не пойму почему, мне почему-то доказывали что будет ;-) Ну пусть приведут доказательства :-))) - Подскажите с планированием DMZ..., Rick, 14:43 , 13-Апр-07 (32)
>>и ISP Routing-а) белые адреса в DMZ? >См сообщение №10 ;-) Эт все моя не внимательность.... > >>>Почему это должно быть петлей? >>Дык и не пойму почему, мне почему-то доказывали что будет ;-) >Ну пусть приведут доказательства :-))) Ok! попрошу. Я очень благодарен Вам за помощь, впереди еще техническая реализация, разговоры с провайдером etc. Я все таки скланяюсь к Вашему варианту без NAT. В долгу оставаться не хочу, для Вас хочу предложить приглашение на kpnemo.ru, нужен Ваш email - Подскажите с планированием DMZ..., muhlik, 15:50 , 13-Апр-07 (33)
>В долгу оставаться не хочу, для Вас хочу предложить приглашение на >kpnemo.ru, нужен Ваш email Не знаю что это,после обеда посмотрю :-)... если что стучитесь: ICQ 6O738O3O - Подскажите с планированием DMZ..., Rick, 14:24 , 13-Апр-07 (30)
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна >в случае с НАТом и пробросом IP настройка роутинга у прова >;-) :-) Нет я про совет от krim: >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов. >2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья. >3. можно и так. Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не допру.. Ведь в интернете будет видет тока IP модема? И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?>Почему это должно быть петлей? Дык и не пойму почему, мне почему-то доказывали что будет ;-)
- Подскажите с планированием DMZ..., 123, 09:19 , 13-Апр-07 (21)
IMHO если Вы не хотите разбивать выделенные адреса на несколько подсетей, то нужно настраивать бридж. Вот здесь (http://securityportal.ru/network/FilterBridge.html) неплохо все расписано. Т.е. будет примерно так: ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW
|