форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Подскажите с планированием DMZ..."

Сообщение от Rick (??) on 11-Апр-07, 09:17

Добрый день! Нужно помощь в планировании DMZ. Есть выделенный пул из 16 IP (14 робочих) За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/ Имеем вот это: INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN                                                                                                         |----DOMINO       |----WEB+DNS     Проблема в технической реализации... Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать? Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие внутренние IP. Как обычно это делается? Благодарю за помощь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Подскажите с планированием DMZ..."

Сообщение от Rick (??) on 11-Апр-07, 09:20

DOMINO и WEB+DNS нах-ся в DMZ сегменте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Подскажите с планированием DMZ..."

Сообщение от muhlik (??) on 11-Апр-07, 10:11

>Добрый день! >Нужно помощь в планировании DMZ. >Есть выделенный пул из 16 IP (14 робочих) >За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/ > >Имеем вот это: > >INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN >             >|----DOMINO    |----WEB+DNS > >Проблема в технической реализации... >Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать? > >Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие >внутренние IP. Как обычно это делается? Благодарю за помощь. Не понятно у тебя 16 адресов всего (т.е. 1 адрес используется на роутере для сетевухи смотрящей в инет) или у тебя 16 адресов свободных? Если свободные, тогда ничего сложного просто пропиши на сетевухе смотрящей в ДМЗ один из этих адресов и разреши роутинг между интерфейсами. А если у тебя адреса не свободные... ну есть наверное вариант с arp-прокси но я его не знаю :-))) я бы сделал так, разбил 16 адресов на 2 подсетки по 8, один интерфейс на роутере в одну подсеть, другой в другую, и прова попросил бы ту подсеть которая для ДМЗ роутить на твой ИП смотрящий в инет. Собственно у меня так и работает только у меня не 2 сетки по 8, а 2 по 4 ИП. Если че не понятно спрашивай ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 11-Апр-07, 10:24
	У меня 16 выделенных IP адресов от моего ISP. Из этих 16 - 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один будет на Router, а остальные хотелось бы раскидать между VOIP(его на схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться VPN Gateway, PROXY + Nat и за ним сеть с приватными IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы именно правильно т.к. это первый опыт в создании такой схемы, до этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan). Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить в SWITCH и от него просто на серваки или на ROUTER нужно карточку для каждого из серверов. Благодарю за помощь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 11-Апр-07, 10:47
	>У меня 16 выделенных IP адресов от моего ISP. Из этих 16 >- 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один >будет на Router, а остальные хотелось бы раскидать между VOIP(его на >схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться >VPN Gateway, PROXY + Nat и за ним сеть с приватными >IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы >именно правильно т.к. это первый опыт в создании такой схемы, до >этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan). Так, значит все таки 16 адресов всего... Ну тогда попробуй поискать про arp-proxy но что-то мне не верится что так можно что-нить сделать. Либо в ДМЗ используй серые ИП адреса а на внешнем интерфейсе сделай НАТ... >Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить >в SWITCH и от него просто на серваки или на ROUTER >нужно карточку для каждого из серверов. Да в свич, если он управляемый можно все в один vlan загнать ;-) >Благодарю за помощь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Подскажите с планированием DMZ..."

Сообщение от krim (ok) on 11-Апр-07, 13:40

>Добрый день! >Нужно помощь в планировании DMZ. >Есть выделенный пул из 16 IP (14 робочих) >За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/ > >Имеем вот это: > >INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN >             >           >           >           >           >           >           >           >           >|----DOMINO    |----WEB+DNS > >Проблема в технической реализации... >Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать? > >Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие >внутренние IP. Как обычно это делается? Благодарю за помощь. мне кажется что все просто... сложнее будет с настройкой узлов. может я не понимаю всей глубины проблемы? :) если модем работает в режиме моста, то на 1-ом шлюзе будет белый адрес со стороны инета и со стороны DMZ, далее раздаем остльные белые адреса хостам находящимся в DMZ и не забываем про шлюз защищенной локальной сети, это будет шлюз-2. На шлюзе-2 карточка смотрящая в DMZ имеет белый адрес, а карточка смотрящая в защищеную сеть имеет серый адрес. Все машины защищенной локальной сети имеют серые адреса. на обоих шлюзах настраиваются FW в соответствии с поставленными задачами, маршрутизация и остальное барахло :) кстати NAT надо поднимать на шлюзе-2 или ставить прокси. Впрочем, это все вариации... если не прав, то поправте...                 |     DMZ     | |   SECLan       inet---ADSL---GW1----switch---GW2---switch---SL_host1                         |             |                   DNS,DOMINO,WEB      |----SL_host2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 11-Апр-07, 14:00
	>мне кажется что все просто... сложнее будет с настройкой узлов. Да я думаю что вы правы. Сложность вы имеете ввиду в настройки политик FW? Как я вижу решений три: 1) Использовать на пограничном шлюзе NAT 1:1 2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг 3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html) Благодарю за ответ.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Подскажите с планированием DMZ..."
	Сообщение от krim (ok) on 11-Апр-07, 14:44
	>>мне кажется что все просто... сложнее будет с настройкой узлов. >Да я думаю что вы правы. Сложность вы имеете ввиду в настройки >политик FW? > >Как я вижу решений три: > >1) Использовать на пограничном шлюзе NAT 1:1 >2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг >3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html) > >Благодарю за ответ. сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :) 1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов. 2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья. 3. можно и так.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 11-Апр-07, 15:33
	>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать >схему Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался. >и проследить как будут ходить пакеты в оба направления, как >для хостов защищенной сети, так и для DMZ. Просмотреть все возможные >варианты, Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью. плюс ко всему не хватает базового знания IP > а потом уже приступать к настройке. обычно после первых двух >этапов остается очень мало воросов :) К настройке пока и не приступали, пока что только разработка схемы >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом >находится сеть с "серыми" адресами, Полностью согласен и изначально так и планировалось > а для хостов в DMZ NAT >не нужен, т.к. они имеют "белые" адреса и поэтому видны с >Internet без преобразования адресов. Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER   (1 Шлюз) А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino, IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ) И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ??? >3. можно и так. Bridge? А если у меня впереди модем? Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 11-Апр-07, 14:27
	>если модем работает в режиме моста, то на 1-ом шлюзе будет белый >адрес со стороны инета и со стороны DMZ, далее раздаем остльные >белые адреса хостам находящимся в DMZ и не забываем про шлюз >защищенной локальной сети, это будет шлюз-2. Вот интересно как вы себе представляете как это будет работать, раз у вас все так просто :-))) На вашем примере: - "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2, а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1 это шлюз прова) - "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить? неужели из сети 80.80.80.0/28???) - "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять из 80.80.80.0/28???) Я правильно понял? То Rick: Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее решение получится ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 11-Апр-07, 14:42
	>То Rick: >Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее >решение получится ;-) Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор ISP а ADSL модем. И если так делать, то как я понимаю все равно надо будет либо договариваться с ISP на  маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть возможность настройки ADSL модема в качестве бриджа тока тады вся моя схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или чего-то не допонимаю...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 11-Апр-07, 15:05
	>>То Rick: >>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее >>решение получится ;-) > >Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор >ISP а ADSL модем. И если так делать, то как я >понимаю все равно надо будет либо договариваться с ISP на   >маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть >возможность настройки ADSL модема в качестве бриджа тока тады вся моя >схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или >чего-то не допонимаю... Модем как бридж работает? Если да то ничего не надо с провом делать схема будет такая:                                            / Server1 (Real IP 1) INET <-> Modem(Bridge) <-> FreeBSD(Bridge) - Server2 (Real IP 2)                                            ...                                            \
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 11-Апр-07, 15:08
	Предыдущая схема не получилась :-))))))))) INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 11-Апр-07, 15:34
	>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать     >схему     Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался.     >и проследить как будут ходить пакеты в оба направления, как     >для хостов защищенной сети, так и для DMZ. Просмотреть все возможные     >варианты,     Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью.     плюс ко всему не хватает базового знания IP     > а потом уже приступать к настройке. обычно после первых двух     >этапов остается очень мало воросов :)     К настройке пока и не приступали, пока что только разработка схемы     >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом     >находится сеть с "серыми" адресами,     Полностью согласен и изначально так и планировалось     > а для хостов в DMZ NAT     >не нужен, т.к. они имеют "белые" адреса и поэтому видны с     >Internet без преобразования адресов.     Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER   (1 Шлюз)     А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino,     IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ)     И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ???     >3. можно и так.     Bridge? А если у меня впереди модем?     Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 11-Апр-07, 15:37
	>Предыдущая схема не получилась :-))))))))) > > >INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc) Модем не Bridge
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 11-Апр-07, 16:33
	>>Предыдущая схема не получилась :-))))))))) >> >> >>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc) > >Модем не Bridge Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда побольше сведений дали с ИП например, ну замените там пару цифр ;-), но что бы логика сохранилась.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 11-Апр-07, 19:57
	>Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда >побольше сведений дали с ИП например, ну замените там пару цифр >;-), но что бы логика сохранилась. PPPoA, Логика я думаю и так понятна... Сделать защищенную сеть с DMZ
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Подскажите с планированием DMZ..."
	Сообщение от krim (ok) on 11-Апр-07, 14:57
	>>если модем работает в режиме моста, то на 1-ом шлюзе будет белый >>адрес со стороны инета и со стороны DMZ, далее раздаем остльные >>белые адреса хостам находящимся в DMZ и не забываем про шлюз >>защищенной локальной сети, это будет шлюз-2. >Вот интересно как вы себе представляете как это будет работать, раз у >вас все так просто :-))) На вашем примере: >- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2, >а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1 >это шлюз прова) >- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить? >неужели из сети 80.80.80.0/28???) >- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять >из 80.80.80.0/28???) согласен, пургу спорол... :( То Rick: решил быстро помочь, а сам элементарных вещей не проверил... бывает. :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 12-Апр-07, 07:11
	Ребят, ну неужели ни кто не может подсказать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 12-Апр-07, 17:05
	>Ребят, ну неужели ни кто не может подсказать? Можешь написать ИП модема его маску + ИП выданной тебе в пользование подсети?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 13-Апр-07, 08:08
	>>Ребят, ну неужели ни кто не может подсказать? > >Можешь написать ИП модема его маску + ИП выданной тебе в пользование >подсети 200.200.200.26-41 мой пул 255.255.255.240 соответственно: 200.200.200.26/28 Subnet 200.200.200.41/28 Broadcast Примерно хотелось бы так: 200.200.200.27/28 ADSL modem PPPoA 200.200.200.28/28 Router IN ??? 200.200.200.29/28 Router OUT DMZ ??? 200.200.200.30/28 Domino 200.200.200.31/28 Web+DNS 200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT 200.200.200.40/28 VoIP ... Разумеется IP не реальные.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 13-Апр-07, 10:13
	>>>Ребят, ну неужели ни кто не может подсказать? >> >>Можешь написать ИП модема его маску + ИП выданной тебе в пользование >>подсети > >200.200.200.26-41 мой пул 255.255.255.240 > >соответственно: >200.200.200.26/28 Subnet >200.200.200.41/28 Broadcast > >Примерно хотелось бы так: >200.200.200.27/28 ADSL modem PPPoA >200.200.200.28/28 Router IN >??? 200.200.200.29/28 Router OUT DMZ ??? >200.200.200.30/28 Domino >200.200.200.31/28 Web+DNS >200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT >200.200.200.40/28 VoIP > >... Разумеется IP не реальные. Так не получится! В таком варианте вам поможет только разбиение на подсети и просба провайдера роутить одну из подсетей которая будет в ДМЗ на ваш мопед... и то при условии что Фрюшка будет бриджем... иначе если она будет роутером у вас не хватит ИП адресов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 13-Апр-07, 11:28
	>>>>Ребят, ну неужели ни кто не может подсказать? >>> >>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование >>>подсети >> >>200.200.200.26-41 мой пул 255.255.255.240 >> >>соответственно: >>200.200.200.26/28 Subnet >>200.200.200.41/28 Broadcast >> >>Примерно хотелось бы так: >>200.200.200.27/28 ADSL modem PPPoA >>200.200.200.28/28 Router IN >>??? 200.200.200.29/28 Router OUT DMZ ??? >>200.200.200.30/28 Domino >>200.200.200.31/28 Web+DNS >>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT >>200.200.200.40/28 VoIP >> >>... Разумеется IP не реальные. > >Так не получится! В таком варианте вам поможет только разбиение на подсети >и просба провайдера роутить одну из подсетей которая будет в ДМЗ >на ваш мопед... и то при условии что Фрюшка будет бриджем... >иначе если она будет роутером у вас не хватит ИП адресов. > Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую карточку и выделять IP в две стороны? Хватит, просто для Proxy не будет пула. Я прав?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (??) on 13-Апр-07, 11:49
	>Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую >карточку и выделять IP в две стороны? Хватит, просто для Proxy >не будет пула. Я прав? Не очень понял что вы имели ввиду но я вижу пока 2 пути решения: 1. НАТ INET <-> (1)ADSL(ROUTER + DNAT)(2) <-> (3)FreeBSD(Bridge)(4) <-> (5)Servers Адреса: 1 - 200.200.200.27/28 + проброс IP     200.200.200.28/28 -> 10.0.0.2     200.200.200.29/28 -> 10.0.0.3 2 - 10.0.0.1/24 3 - none 4 - none 5 - 10.0.0.2-254/24 2. Router разбиваем вашу сеть например так: 200.200.200.26/30 200.200.200.30/30 200.200.200.34/29 INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers Адреса: 1 - 200.200.200.27/30 2 - 200.200.200.31/30 3 - 200.200.200.32/30 4 - 200.200.200.35/29 5 - 200.200.200.36-40/29 Ну и просим что бы пров все у себя настоил что бы на вас был роутинг
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 13-Апр-07, 12:29
	>2. Router > >разбиваем вашу сеть например так: >200.200.200.26/30 >200.200.200.30/30 >200.200.200.34/29 > > >INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers >Адреса: >1 - 200.200.200.27/30 >2 - 200.200.200.31/30 >3 - 200.200.200.32/30 >4 - 200.200.200.35/29 >5 - 200.200.200.36-40/29 >Ну и просим что бы пров все у себя настоил что бы >на вас был роутинг Вот я за это и был... Тока отсюда у меня и был вопрос, >(3)FreeBSD(ROUTER)(4) >3 - 200.200.200.32/30 >4 - 200.200.200.35/29 Это не будет петлёй? И еще, мне не понятно каким образом выше предлагали настроить без роутинга от прова?? Для меня загадка. Благодарю за помощь! ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (ok) on 13-Апр-07, 12:40
	>Вот я за это и был... Тока отсюда у меня и был >вопрос, >>(3)FreeBSD(ROUTER)(4) >>3 - 200.200.200.32/30 >>4 - 200.200.200.35/29 >Это не будет петлёй? Почему это должно быть петлей? > И еще, мне не понятно каким образом выше предлагали настроить без >роутинга от прова?? Для меня загадка. Вы про пример с НАТом? Для меня теперь тоже :-))) ну не подумал :-)))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (ok) on 13-Апр-07, 13:53
	>> И еще, мне не понятно каким образом выше предлагали настроить без >>роутинга от прова?? Для меня загадка. >Вы про пример с НАТом? Для меня теперь тоже :-))) ну не >подумал :-))) Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна в случае с НАТом и пробросом IP настройка роутинга у прова ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 13-Апр-07, 14:23
	>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна >в случае с НАТом и пробросом IP настройка роутинга у прова >;-) :-) Нет я про совет от krim: >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов. >2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья. >3. можно и так. Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не дойду.. Ведь в интернете будет видет тока IP модема? И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ? >Почему это должно быть петлей? Дык и не пойму почему, мне почему-то доказывали что будет ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (ok) on 13-Апр-07, 14:31
	>Нет я про совет от krim: >>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов. >>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья. >>3. можно и так. >Я так понял krim предложил вариант без NAT и сказал что это >будет работать без роутинга от провайдера. Вот я и не дойду.. >Ведь в интернете будет видет тока IP модема? >И как через IP модема можно будет из интернета увидеть (без NAT >и ISP Routing-а) белые адреса в DMZ? См сообщение №10 ;-) >>Почему это должно быть петлей? >Дык и не пойму почему, мне почему-то доказывали что будет ;-) Ну пусть приведут доказательства :-)))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 13-Апр-07, 14:43
	>>и ISP Routing-а) белые адреса в DMZ? >См сообщение №10 ;-) Эт все моя не внимательность.... > >>>Почему это должно быть петлей? >>Дык и не пойму почему, мне почему-то доказывали что будет ;-) >Ну пусть приведут доказательства :-))) Ok! попрошу. Я очень благодарен Вам за помощь, впереди еще техническая реализация, разговоры с провайдером etc. Я все таки скланяюсь к Вашему варианту без NAT. В долгу оставаться не хочу, для Вас хочу предложить приглашение на kpnemo.ru, нужен Ваш email
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Подскажите с планированием DMZ..."
	Сообщение от muhlik (ok) on 13-Апр-07, 15:50
	>В долгу оставаться не хочу, для Вас хочу предложить приглашение на >kpnemo.ru, нужен Ваш email Не знаю что это,после обеда посмотрю :-)... если что стучитесь: ICQ 6O738O3O
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 13-Апр-07, 14:24
	>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна >в случае с НАТом и пробросом IP настройка роутинга у прова >;-) :-) Нет я про совет от krim: >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов. >2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья. >3. можно и так. Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не допру.. Ведь в интернете будет видет тока IP модема? И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ? >Почему это должно быть петлей? Дык и не пойму почему, мне почему-то доказывали что будет ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Подскажите с планированием DMZ..."

Сообщение от 123 (??) on 13-Апр-07, 09:19

IMHO если Вы не хотите разбивать выделенные адреса на несколько подсетей, то нужно настраивать бридж. Вот здесь (http://securityportal.ru/network/FilterBridge.html) неплохо все расписано. Т.е. будет примерно так: ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Подскажите с планированием DMZ..."
	Сообщение от Rick (??) on 13-Апр-07, 11:30
	>ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW У меня модем не бриджом, как я писал выше. >(http://securityportal.ru/network/FilterBridge.html) Спасибо как раз и читал, и выше приводил ссылку
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]