- Подскажите с планированием DMZ...,
 Rick, 09:20 , 11-Апр-07 (1)DOMINO и WEB+DNS нах-ся в DMZ сегменте - Подскажите с планированием DMZ..., muhlik, 10:11 , 11-Апр-07 (2)
>Добрый день!
>Нужно помощь в планировании DMZ.
>Есть выделенный пул из 16 IP (14 робочих)
>За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/
>
>Имеем вот это:
>
>INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN
>
>|----DOMINO |----WEB+DNS
>
>Проблема в технической реализации...
>Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
>
>Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие
>внутренние IP. Как обычно это делается? Благодарю за помощь. Не понятно у тебя 16 адресов всего (т.е. 1 адрес используется на роутере для сетевухи смотрящей в инет) или у тебя 16 адресов свободных?
Если свободные, тогда ничего сложного просто пропиши на сетевухе смотрящей в ДМЗ один из этих адресов и разреши роутинг между интерфейсами.
А если у тебя адреса не свободные... ну есть наверное вариант с arp-прокси но я его не знаю :-))) я бы сделал так, разбил 16 адресов на 2 подсетки по 8, один интерфейс на роутере в одну подсеть, другой в другую, и прова попросил бы ту подсеть которая для ДМЗ роутить на твой ИП смотрящий в инет. Собственно у меня так и работает только у меня не 2 сетки по 8, а 2 по 4 ИП.
Если че не понятно спрашивай ;-)
- Подскажите с планированием DMZ..., Rick, 10:24 , 11-Апр-07 (3)
У меня 16 выделенных IP адресов от моего ISP. Из этих 16 - 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один будет на Router, а остальные хотелось бы раскидать между VOIP(его на схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться VPN Gateway, PROXY + Nat и за ним сеть с приватными IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы именно правильно т.к. это первый опыт в создании такой схемы, до этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan). Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить в SWITCH и от него просто на серваки или на ROUTER нужно карточку для каждого из серверов. Благодарю за помощь.
- Подскажите с планированием DMZ..., muhlik, 10:47 , 11-Апр-07 (4)
>У меня 16 выделенных IP адресов от моего ISP. Из этих 16
>- 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один
>будет на Router, а остальные хотелось бы раскидать между VOIP(его на
>схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться
>VPN Gateway, PROXY + Nat и за ним сеть с приватными
>IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы
>именно правильно т.к. это первый опыт в создании такой схемы, до
>этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan).
Так, значит все таки 16 адресов всего... Ну тогда попробуй поискать про arp-proxy но что-то мне не верится что так можно что-нить сделать. Либо в ДМЗ используй серые ИП адреса а на внешнем интерфейсе сделай НАТ...>Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить
>в SWITCH и от него просто на серваки или на ROUTER
>нужно карточку для каждого из серверов.
Да в свич, если он управляемый можно все в один vlan загнать ;-) >Благодарю за помощь.
- Подскажите с планированием DMZ..., krim, 13:40 , 11-Апр-07 (5)
>Добрый день!
>Нужно помощь в планировании DMZ.
>Есть выделенный пул из 16 IP (14 робочих)
>За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/
>
>Имеем вот это:
>
>INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN
>
>
>
>
>
>
>
>
>
>|----DOMINO |----WEB+DNS
>
>Проблема в технической реализации...
>Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
>
>Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие
>внутренние IP. Как обычно это делается? Благодарю за помощь. мне кажется что все просто... сложнее будет с настройкой узлов.
может я не понимаю всей глубины проблемы? :)
если модем работает в режиме моста, то на 1-ом шлюзе будет белый адрес со стороны инета и со стороны DMZ, далее раздаем остльные белые адреса хостам находящимся в DMZ и не забываем про шлюз защищенной локальной сети, это будет шлюз-2. На шлюзе-2 карточка смотрящая в DMZ имеет белый адрес, а карточка смотрящая в защищеную сеть имеет серый адрес. Все машины защищенной локальной сети имеют серые адреса. на обоих шлюзах настраиваются FW в соответствии с поставленными задачами, маршрутизация и остальное барахло :) кстати NAT надо поднимать на шлюзе-2 или ставить прокси. Впрочем, это все вариации...
если не прав, то поправте...
| DMZ | | SECLan
inet---ADSL---GW1----switch---GW2---switch---SL_host1
| |
DNS,DOMINO,WEB |----SL_host2
- Подскажите с планированием DMZ..., Rick, 14:00 , 11-Апр-07 (6)
>мне кажется что все просто... сложнее будет с настройкой узлов.
Да я думаю что вы правы. Сложность вы имеете ввиду в настройки политик FW?Как я вижу решений три: 1) Использовать на пограничном шлюзе NAT 1:1
2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html) Благодарю за ответ.
- Подскажите с планированием DMZ..., krim, 14:44 , 11-Апр-07 (9)
>>мне кажется что все просто... сложнее будет с настройкой узлов.
>Да я думаю что вы правы. Сложность вы имеете ввиду в настройки
>политик FW?
>
>Как я вижу решений три:
>
>1) Использовать на пограничном шлюзе NAT 1:1
>2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
>3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html)
>
>Благодарю за ответ. сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :) 1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов.
2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья.
3. можно и так.
- Подскажите с планированием DMZ..., Rick, 15:33 , 11-Апр-07 (13)
>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать
>схему
Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался.>и проследить как будут ходить пакеты в оба направления, как
>для хостов защищенной сети, так и для DMZ. Просмотреть все возможные
>варианты,
Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью.
плюс ко всему не хватает базового знания IP > а потом уже приступать к настройке. обычно после первых двух
>этапов остается очень мало воросов :)
К настройке пока и не приступали, пока что только разработка схемы >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом
>находится сеть с "серыми" адресами,
Полностью согласен и изначально так и планировалось > а для хостов в DMZ NAT
>не нужен, т.к. они имеют "белые" адреса и поэтому видны с
>Internet без преобразования адресов.
Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER (1 Шлюз)
А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino,
IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ)
И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ??? >3. можно и так.
Bridge? А если у меня впереди модем? Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...
- Подскажите с планированием DMZ..., muhlik, 14:27 , 11-Апр-07 (7)
>если модем работает в режиме моста, то на 1-ом шлюзе будет белый
>адрес со стороны инета и со стороны DMZ, далее раздаем остльные
>белые адреса хостам находящимся в DMZ и не забываем про шлюз
>защищенной локальной сети, это будет шлюз-2.
Вот интересно как вы себе представляете как это будет работать, раз у вас все так просто :-))) На вашем примере:
- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2, а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1 это шлюз прова)
- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить? неужели из сети 80.80.80.0/28???)
- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять из 80.80.80.0/28???)
Я правильно понял?То Rick:
Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее решение получится ;-)
- Подскажите с планированием DMZ..., Rick, 14:42 , 11-Апр-07 (8)
>То Rick:
>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее
>решение получится ;-) Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор ISP а ADSL модем. И если так делать, то как я понимаю все равно надо будет либо договариваться с ISP на маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть возможность настройки ADSL модема в качестве бриджа тока тады вся моя схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или чего-то не допонимаю...
- Подскажите с планированием DMZ..., muhlik, 15:05 , 11-Апр-07 (11)
>>То Rick:
>>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее
>>решение получится ;-)
>
>Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор
>ISP а ADSL модем. И если так делать, то как я
>понимаю все равно надо будет либо договариваться с ISP на
>маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть
>возможность настройки ADSL модема в качестве бриджа тока тады вся моя
>схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или
>чего-то не допонимаю... Модем как бридж работает? Если да то ничего не надо с провом делать схема будет такая: / Server1 (Real IP 1)
INET <-> Modem(Bridge) <-> FreeBSD(Bridge) - Server2 (Real IP 2)
... \
- Подскажите с планированием DMZ..., muhlik, 15:08 , 11-Апр-07 (12)
Предыдущая схема не получилась :-)))))))))
INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)
- Подскажите с планированием DMZ..., Rick, 15:34 , 11-Апр-07 (14)
>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать
>схему
Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался. >и проследить как будут ходить пакеты в оба направления, как
>для хостов защищенной сети, так и для DMZ. Просмотреть все возможные
>варианты,
Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью.
плюс ко всему не хватает базового знания IP > а потом уже приступать к настройке. обычно после первых двух
>этапов остается очень мало воросов :)
К настройке пока и не приступали, пока что только разработка схемы >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом
>находится сеть с "серыми" адресами,
Полностью согласен и изначально так и планировалось > а для хостов в DMZ NAT
>не нужен, т.к. они имеют "белые" адреса и поэтому видны с
>Internet без преобразования адресов.
Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER (1 Шлюз)
А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino,
IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ)
И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ??? >3. можно и так.
Bridge? А если у меня впереди модем? Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы... - Подскажите с планированием DMZ..., Rick, 15:37 , 11-Апр-07 (15)
>Предыдущая схема не получилась :-)))))))))
>
>
>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)Модем не Bridge
- Подскажите с планированием DMZ..., muhlik, 16:33 , 11-Апр-07 (16)
>>Предыдущая схема не получилась :-)))))))))
>>
>>
>>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)
>
>Модем не Bridge Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда побольше сведений дали с ИП например, ну замените там пару цифр ;-), но что бы логика сохранилась.
- Подскажите с планированием DMZ..., Rick, 19:57 , 11-Апр-07 (17)
>Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда
>побольше сведений дали с ИП например, ну замените там пару цифр
>;-), но что бы логика сохранилась. PPPoA, Логика я думаю и так понятна... Сделать защищенную сеть с DMZ
- Подскажите с планированием DMZ..., krim, 14:57 , 11-Апр-07 (10)
>>если модем работает в режиме моста, то на 1-ом шлюзе будет белый
>>адрес со стороны инета и со стороны DMZ, далее раздаем остльные
>>белые адреса хостам находящимся в DMZ и не забываем про шлюз
>>защищенной локальной сети, это будет шлюз-2.
>Вот интересно как вы себе представляете как это будет работать, раз у
>вас все так просто :-))) На вашем примере:
>- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2,
>а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1
>это шлюз прова)
>- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить?
>неужели из сети 80.80.80.0/28???)
>- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять
>из 80.80.80.0/28???) согласен, пургу спорол... :( То Rick:
решил быстро помочь, а сам элементарных вещей не проверил...
бывает. :)
- Подскажите с планированием DMZ..., Rick, 07:11 , 12-Апр-07 (18)
Ребят, ну неужели ни кто не может подсказать?
- Подскажите с планированием DMZ..., muhlik, 17:05 , 12-Апр-07 (19)
>Ребят, ну неужели ни кто не может подсказать? Можешь написать ИП модема его маску + ИП выданной тебе в пользование подсети?
- Подскажите с планированием DMZ..., Rick, 08:08 , 13-Апр-07 (20)
>>Ребят, ну неужели ни кто не может подсказать?
>
>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>подсети200.200.200.26-41 мой пул 255.255.255.240 соответственно:
200.200.200.26/28 Subnet
200.200.200.41/28 Broadcast Примерно хотелось бы так:
200.200.200.27/28 ADSL modem PPPoA
200.200.200.28/28 Router IN
??? 200.200.200.29/28 Router OUT DMZ ???
200.200.200.30/28 Domino
200.200.200.31/28 Web+DNS
200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
200.200.200.40/28 VoIP ... Разумеется IP не реальные.
- Подскажите с планированием DMZ..., muhlik, 10:13 , 13-Апр-07 (22)
>>>Ребят, ну неужели ни кто не может подсказать?
>>
>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>>подсети
>
>200.200.200.26-41 мой пул 255.255.255.240
>
>соответственно:
>200.200.200.26/28 Subnet
>200.200.200.41/28 Broadcast
>
>Примерно хотелось бы так:
>200.200.200.27/28 ADSL modem PPPoA
>200.200.200.28/28 Router IN
>??? 200.200.200.29/28 Router OUT DMZ ???
>200.200.200.30/28 Domino
>200.200.200.31/28 Web+DNS
>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
>200.200.200.40/28 VoIP
>
>... Разумеется IP не реальные. Так не получится! В таком варианте вам поможет только разбиение на подсети и просба провайдера роутить одну из подсетей которая будет в ДМЗ на ваш мопед... и то при условии что Фрюшка будет бриджем... иначе если она будет роутером у вас не хватит ИП адресов.
- Подскажите с планированием DMZ..., Rick, 11:28 , 13-Апр-07 (23)
>>>>Ребят, ну неужели ни кто не может подсказать?
>>>
>>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>>>подсети
>>
>>200.200.200.26-41 мой пул 255.255.255.240
>>
>>соответственно:
>>200.200.200.26/28 Subnet
>>200.200.200.41/28 Broadcast
>>
>>Примерно хотелось бы так:
>>200.200.200.27/28 ADSL modem PPPoA
>>200.200.200.28/28 Router IN
>>??? 200.200.200.29/28 Router OUT DMZ ???
>>200.200.200.30/28 Domino
>>200.200.200.31/28 Web+DNS
>>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
>>200.200.200.40/28 VoIP
>>
>>... Разумеется IP не реальные.
>
>Так не получится! В таком варианте вам поможет только разбиение на подсети
>и просба провайдера роутить одну из подсетей которая будет в ДМЗ
>на ваш мопед... и то при условии что Фрюшка будет бриджем...
>иначе если она будет роутером у вас не хватит ИП адресов.
>Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую карточку и выделять IP в две стороны? Хватит, просто для Proxy не будет пула. Я прав?
- Подскажите с планированием DMZ..., muhlik, 11:49 , 13-Апр-07 (25)
>Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую
>карточку и выделять IP в две стороны? Хватит, просто для Proxy
>не будет пула. Я прав?
Не очень понял что вы имели ввиду но я вижу пока 2 пути решения:
1. НАТINET <-> (1)ADSL(ROUTER + DNAT)(2) <-> (3)FreeBSD(Bridge)(4) <-> (5)Servers
Адреса:
1 - 200.200.200.27/28 + проброс IP
200.200.200.28/28 -> 10.0.0.2
200.200.200.29/28 -> 10.0.0.3
2 - 10.0.0.1/24
3 - none
4 - none
5 - 10.0.0.2-254/24 2. Router разбиваем вашу сеть например так:
200.200.200.26/30
200.200.200.30/30
200.200.200.34/29
INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers
Адреса:
1 - 200.200.200.27/30
2 - 200.200.200.31/30
3 - 200.200.200.32/30
4 - 200.200.200.35/29
5 - 200.200.200.36-40/29
Ну и просим что бы пров все у себя настоил что бы на вас был роутинг
- Подскажите с планированием DMZ..., Rick, 12:29 , 13-Апр-07 (26)
>2. Router
>
>разбиваем вашу сеть например так:
>200.200.200.26/30
>200.200.200.30/30
>200.200.200.34/29
>
>
>INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers
>Адреса:
>1 - 200.200.200.27/30
>2 - 200.200.200.31/30
>3 - 200.200.200.32/30
>4 - 200.200.200.35/29
>5 - 200.200.200.36-40/29
>Ну и просим что бы пров все у себя настоил что бы
>на вас был роутинг Вот я за это и был... Тока отсюда у меня и был вопрос,
>(3)FreeBSD(ROUTER)(4)
>3 - 200.200.200.32/30
>4 - 200.200.200.35/29
Это не будет петлёй?
И еще, мне не понятно каким образом выше предлагали настроить без роутинга от прова?? Для меня загадка.
Благодарю за помощь! ;-)
- Подскажите с планированием DMZ..., muhlik, 12:40 , 13-Апр-07 (27)
>Вот я за это и был... Тока отсюда у меня и был
>вопрос,
>>(3)FreeBSD(ROUTER)(4)
>>3 - 200.200.200.32/30
>>4 - 200.200.200.35/29
>Это не будет петлёй?
Почему это должно быть петлей?> И еще, мне не понятно каким образом выше предлагали настроить без
>роутинга от прова?? Для меня загадка.
Вы про пример с НАТом? Для меня теперь тоже :-))) ну не подумал :-)))
- Подскажите с планированием DMZ..., muhlik, 13:53 , 13-Апр-07 (28)
>> И еще, мне не понятно каким образом выше предлагали настроить без
>>роутинга от прова?? Для меня загадка.
>Вы про пример с НАТом? Для меня теперь тоже :-))) ну не
>подумал :-)))
Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна в случае с НАТом и пробросом IP настройка роутинга у прова ;-) - Подскажите с планированием DMZ..., Rick, 14:23 , 13-Апр-07 (29)
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна
>в случае с НАТом и пробросом IP настройка роутинга у прова
>;-)
:-)
Нет я про совет от krim:
>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>3. можно и так.
Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не дойду.. Ведь в интернете будет видет тока IP модема?
И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?>Почему это должно быть петлей?
Дык и не пойму почему, мне почему-то доказывали что будет ;-) - Подскажите с планированием DMZ..., muhlik, 14:31 , 13-Апр-07 (31)
>Нет я про совет от krim:
>>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>>3. можно и так.
>Я так понял krim предложил вариант без NAT и сказал что это
>будет работать без роутинга от провайдера. Вот я и не дойду..
>Ведь в интернете будет видет тока IP модема?
>И как через IP модема можно будет из интернета увидеть (без NAT
>и ISP Routing-а) белые адреса в DMZ?
См сообщение №10 ;-)>>Почему это должно быть петлей?
>Дык и не пойму почему, мне почему-то доказывали что будет ;-)
Ну пусть приведут доказательства :-))) - Подскажите с планированием DMZ..., Rick, 14:43 , 13-Апр-07 (32)
>>и ISP Routing-а) белые адреса в DMZ?
>См сообщение №10 ;-)
Эт все моя не внимательность....
>
>>>Почему это должно быть петлей?
>>Дык и не пойму почему, мне почему-то доказывали что будет ;-)
>Ну пусть приведут доказательства :-)))
Ok! попрошу.
Я очень благодарен Вам за помощь, впереди еще техническая реализация, разговоры с провайдером etc. Я все таки скланяюсь к Вашему варианту без NAT. В долгу оставаться не хочу, для Вас хочу предложить приглашение на kpnemo.ru, нужен Ваш email - Подскажите с планированием DMZ..., muhlik, 15:50 , 13-Апр-07 (33)
>В долгу оставаться не хочу, для Вас хочу предложить приглашение на
>kpnemo.ru, нужен Ваш email
Не знаю что это,после обеда посмотрю :-)... если что стучитесь: ICQ 6O738O3O - Подскажите с планированием DMZ..., Rick, 14:24 , 13-Апр-07 (30)
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна
>в случае с НАТом и пробросом IP настройка роутинга у прова
>;-)
:-)
Нет я про совет от krim:
>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>3. можно и так.
Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не допру.. Ведь в интернете будет видет тока IP модема?
И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?>Почему это должно быть петлей?
Дык и не пойму почему, мне почему-то доказывали что будет ;-)
- Подскажите с планированием DMZ..., 123, 09:19 , 13-Апр-07 (21)
IMHO если Вы не хотите разбивать выделенные адреса на несколько подсетей, то нужно настраивать бридж. Вот здесь (http://securityportal.ru/network/FilterBridge.html) неплохо все расписано.
Т.е. будет примерно так:
ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW
|
Версия для распечатки
Подскажите с планированием DMZ..., 
