The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Подскажите с планированием DMZ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 09:17 
Добрый день!
Нужно помощь в планировании DMZ.
Есть выделенный пул из 16 IP (14 робочих)
За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/

Имеем вот это:

INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN    
                                                                                                    |----DOMINO       |----WEB+DNS    

Проблема в технической реализации...
Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие внутренние IP. Как обычно это делается? Благодарю за помощь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 09:20 
DOMINO и WEB+DNS нах-ся в DMZ сегменте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 11-Апр-07, 10:11 
>Добрый день!
>Нужно помощь в планировании DMZ.
>Есть выделенный пул из 16 IP (14 робочих)
>За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/
>
>Имеем вот это:
>
>INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN
>            
>|----DOMINO    |----WEB+DNS
>
>Проблема в технической реализации...
>Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
>
>Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие
>внутренние IP. Как обычно это делается? Благодарю за помощь.

Не понятно у тебя 16 адресов всего (т.е. 1 адрес используется на роутере для сетевухи смотрящей в инет) или у тебя 16 адресов свободных?
Если свободные, тогда ничего сложного просто пропиши на сетевухе смотрящей в ДМЗ один из этих адресов и разреши роутинг между интерфейсами.
А если у тебя адреса не свободные... ну есть наверное вариант с arp-прокси но я его не знаю :-))) я бы сделал так, разбил 16 адресов на 2 подсетки по 8, один интерфейс на роутере в одну подсеть, другой в другую, и прова попросил бы ту подсеть которая для ДМЗ роутить на твой ИП смотрящий в инет. Собственно у меня так и работает только у меня не 2 сетки по 8, а 2 по 4 ИП.
Если че не понятно спрашивай ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 10:24 
У меня 16 выделенных IP адресов от моего ISP. Из этих 16 - 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один будет на Router, а остальные хотелось бы раскидать между VOIP(его на схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться VPN Gateway, PROXY + Nat и за ним сеть с приватными IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы именно правильно т.к. это первый опыт в создании такой схемы, до этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan).

Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить в SWITCH и от него просто на серваки или на ROUTER нужно карточку для каждого из серверов.

Благодарю за помощь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 11-Апр-07, 10:47 
>У меня 16 выделенных IP адресов от моего ISP. Из этих 16
>- 14 рабочих т.к. первый Subnet, последний Broadcast. Остается 14, Один
>будет на Router, а остальные хотелось бы раскидать между VOIP(его на
>схеме нет), WEB+DNS, LotusDomino и Основным фаерволом на котором будет крутиться
>VPN Gateway, PROXY + Nat и за ним сеть с приватными
>IP. Так вот отсюда вопрос как это сделать правильно (хотелось бы
>именно правильно т.к. это первый опыт в создании такой схемы, до
>этого просто был Firewall с тремя сетевыми карточками, wan, dmz, lan).
Так, значит все таки 16 адресов всего... Ну тогда попробуй поискать про arp-proxy но что-то мне не верится что так можно что-нить сделать. Либо в ДМЗ используй серые ИП адреса а на внешнем интерфейсе сделай НАТ...

>Плюс вопрос, у меня сетевуха смотрящая от ROUTER в DMZ должна подходить
>в SWITCH и от него просто на серваки или на ROUTER
>нужно карточку для каждого из серверов.
Да в свич, если он управляемый можно все в один vlan загнать ;-)

>Благодарю за помощь.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Подскажите с планированием DMZ..."  
Сообщение от krim (ok) on 11-Апр-07, 13:40 
>Добрый день!
>Нужно помощь в планировании DMZ.
>Есть выделенный пул из 16 IP (14 робочих)
>За основу, построение взято отсюда http://www.intuit.ru/department/network/firewalls/2/
>
>Имеем вот это:
>
>INTERNET----ADSL modem----FreeBSD Router+FW----DMZ segment PUBLIC IPs----SEC LAN
>            
>          
>          
>          
>          
>          
>          
>          
>          
>|----DOMINO    |----WEB+DNS
>
>Проблема в технической реализации...
>Хотелось бы использовать выделенные IP для DMZ сегмента, как это правильно реализовать?
>
>Или необходимо как-то прописывать ALIAS-ы на ROUTER и использовать физически какие-то другие
>внутренние IP. Как обычно это делается? Благодарю за помощь.

мне кажется что все просто... сложнее будет с настройкой узлов.
может я не понимаю всей глубины проблемы? :)
если модем работает в режиме моста, то на 1-ом шлюзе будет белый адрес со стороны инета и со стороны DMZ, далее раздаем остльные белые адреса хостам находящимся в DMZ и не забываем про шлюз защищенной локальной сети, это будет шлюз-2. На шлюзе-2 карточка смотрящая в DMZ имеет белый адрес, а карточка смотрящая в защищеную сеть имеет серый адрес. Все машины защищенной локальной сети имеют серые адреса. на обоих шлюзах настраиваются FW в соответствии с поставленными задачами, маршрутизация и остальное барахло :) кстати NAT надо поднимать на шлюзе-2 или ставить прокси. Впрочем, это все вариации...
если не прав, то поправте...


                |     DMZ     | |   SECLan      
inet---ADSL---GW1----switch---GW2---switch---SL_host1
                        |             |
                  DNS,DOMINO,WEB      |----SL_host2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 14:00 
>мне кажется что все просто... сложнее будет с настройкой узлов.
Да я думаю что вы правы. Сложность вы имеете ввиду в настройки политик FW?

Как я вижу решений три:

1) Использовать на пограничном шлюзе NAT 1:1
2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html)

Благодарю за ответ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Подскажите с планированием DMZ..."  
Сообщение от krim (ok) on 11-Апр-07, 14:44 
>>мне кажется что все просто... сложнее будет с настройкой узлов.
>Да я думаю что вы правы. Сложность вы имеете ввиду в настройки
>политик FW?
>
>Как я вижу решений три:
>
>1) Использовать на пограничном шлюзе NAT 1:1
>2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
>3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html)
>
>Благодарю за ответ.

сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :)

1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов.
2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья.
3. можно и так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 15:33 
>сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать
>схему
Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался.

>и проследить как будут ходить пакеты в оба направления, как
>для хостов защищенной сети, так и для DMZ. Просмотреть все возможные
>варианты,
Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью.
плюс ко всему не хватает базового знания IP

> а потом уже приступать к настройке. обычно после первых двух
>этапов остается очень мало воросов :)
К настройке пока и не приступали, пока что только разработка схемы

>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом
>находится сеть с "серыми" адресами,
Полностью согласен и изначально так и планировалось

> а для хостов в DMZ NAT
>не нужен, т.к. они имеют "белые" адреса и поэтому видны с
>Internet без преобразования адресов.
Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER   (1 Шлюз)
А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino,
IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ)
И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ???

>3. можно и так.
Bridge? А если у меня впереди модем?

Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 11-Апр-07, 14:27 
>если модем работает в режиме моста, то на 1-ом шлюзе будет белый
>адрес со стороны инета и со стороны DMZ, далее раздаем остльные
>белые адреса хостам находящимся в DMZ и не забываем про шлюз
>защищенной локальной сети, это будет шлюз-2.
Вот интересно как вы себе представляете как это будет работать, раз у вас все так просто :-))) На вашем примере:
- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2, а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1 это шлюз прова)
- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить? неужели из сети 80.80.80.0/28???)
- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять из 80.80.80.0/28???)
Я правильно понял?

То Rick:
Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее решение получится ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 14:42 
>То Rick:
>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее
>решение получится ;-)

Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор ISP а ADSL модем. И если так делать, то как я понимаю все равно надо будет либо договариваться с ISP на  маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть возможность настройки ADSL модема в качестве бриджа тока тады вся моя схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или чего-то не допонимаю...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 11-Апр-07, 15:05 
>>То Rick:
>>Вот кстати если фрюшку в режиме моста поставить тогда интересное и рабочее
>>решение получится ;-)
>
>Согласен, очень даже интересно, вот тока у меня перед фрюшкой не маршрутизатор
>ISP а ADSL модем. И если так делать, то как я
>понимаю все равно надо будет либо договариваться с ISP на  
>маршрутизацию одного моего белого IP на весь пул, либо действительно посмотреть
>возможность настройки ADSL модема в качестве бриджа тока тады вся моя
>схема перевернется и я потеряю бастионный (первый) фаерволл. Я прав? Или
>чего-то не допонимаю...

Модем как бридж работает? Если да то ничего не надо с провом делать схема будет такая:

                                           / Server1 (Real IP 1)
INET <-> Modem(Bridge) <-> FreeBSD(Bridge) - Server2 (Real IP 2)
                                           ...

                                           \

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 11-Апр-07, 15:08 
Предыдущая схема не получилась :-)))))))))


INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 15:34 
    >сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать
    >схему
    Дык схема нарисована, и в момент слежения за пакетами как раз и возникли вопросы с распределения белых IP где и как. Я ведь даже привел выше ссылку на основу от которой я отталкивался.

    >и проследить как будут ходить пакеты в оба направления, как
    >для хостов защищенной сети, так и для DMZ. Просмотреть все возможные
    >варианты,
    Что я и пытаюсь сделать, а т.к. опыта не так уж и много обратился за помощью.
    плюс ко всему не хватает базового знания IP

    > а потом уже приступать к настройке. обычно после первых двух
    >этапов остается очень мало воросов :)
    К настройке пока и не приступали, пока что только разработка схемы

    >1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом
    >находится сеть с "серыми" адресами,
    Полностью согласен и изначально так и планировалось

    > а для хостов в DMZ NAT
    >не нужен, т.к. они имеют "белые" адреса и поэтому видны с
    >Internet без преобразования адресов.
    Я так понимаю что NAT посоветовали для сопоставления 1:1 серые IP в DMZ с белыми на ROUTER   (1 Шлюз)
    А каким образом им давать белые адреса без NAT? Разве можно просто присвоить IP 1 модему, IP 2 Шлюзу1(внешняя сетевая карта), IP 3 Шлюзу1(внутреняя DMZ сетевая карта), IP 4 Domino,
    IP 5 WEB, IP6 Шлюз2 (внешняя сетевая карта DMZ)
    И каким образом они будут видны из Интернет если Они все идут в ADSL Modem c IP1, ведь реально из Интернет видет IP 1, (или нужно настраивать в таком случае модем, а если он не позваляет этого?) ???

    >3. можно и так.
    Bridge? А если у меня впереди модем?

    Извините возможно за тупые вопросы, но хотелось бы восполнить пробелы...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 15:37 
>Предыдущая схема не получилась :-)))))))))
>
>
>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)

Модем не Bridge

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 11-Апр-07, 16:33 
>>Предыдущая схема не получилась :-)))))))))
>>
>>
>>INET <-> Modem(Bridge) <-> FreeBSD(Bridge) <-> (Server1 (Real IP 1),Server2 (Real IP 2), etc)
>
>Модем не Bridge

Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда побольше сведений дали с ИП например, ну замените там пару цифр ;-), но что бы логика сохранилась.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 11-Апр-07, 19:57 
>Т.е. на модеме PPPoE? Чета не очень понятно, вы бы правда тогда
>побольше сведений дали с ИП например, ну замените там пару цифр
>;-), но что бы логика сохранилась.

PPPoA, Логика я думаю и так понятна... Сделать защищенную сеть с DMZ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Подскажите с планированием DMZ..."  
Сообщение от krim (ok) on 11-Апр-07, 14:57 
>>если модем работает в режиме моста, то на 1-ом шлюзе будет белый
>>адрес со стороны инета и со стороны DMZ, далее раздаем остльные
>>белые адреса хостам находящимся в DMZ и не забываем про шлюз
>>защищенной локальной сети, это будет шлюз-2.
>Вот интересно как вы себе представляете как это будет работать, раз у
>вас все так просто :-))) На вашем примере:
>- "то на 1-ом шлюзе будет белый" (пусть это будет например 80.80.80.2,
>а вся сеть выданная человеку например 80.80.80.0/28, и пусть адрес 80.80.80.1
>это шлюз прова)
>- "и со стороны DMZ" (вот тут неясно, какой-же адрес сюда вбить?
>неужели из сети 80.80.80.0/28???)
>- "далее раздаем остльные белые адреса хостам находящимся в DMZ" (что опять
>из 80.80.80.0/28???)

согласен, пургу спорол... :(

То Rick:
решил быстро помочь, а сам элементарных вещей не проверил...
бывает. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 12-Апр-07, 07:11 
Ребят, ну неужели ни кто не может подсказать?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 12-Апр-07, 17:05 
>Ребят, ну неужели ни кто не может подсказать?

Можешь написать ИП модема его маску + ИП выданной тебе в пользование подсети?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 13-Апр-07, 08:08 
>>Ребят, ну неужели ни кто не может подсказать?
>
>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>подсети

200.200.200.26-41 мой пул 255.255.255.240

соответственно:
200.200.200.26/28 Subnet
200.200.200.41/28 Broadcast

Примерно хотелось бы так:
200.200.200.27/28 ADSL modem PPPoA
200.200.200.28/28 Router IN
??? 200.200.200.29/28 Router OUT DMZ ???
200.200.200.30/28 Domino
200.200.200.31/28 Web+DNS
200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
200.200.200.40/28 VoIP

... Разумеется IP не реальные.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 13-Апр-07, 10:13 
>>>Ребят, ну неужели ни кто не может подсказать?
>>
>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>>подсети
>
>200.200.200.26-41 мой пул 255.255.255.240
>
>соответственно:
>200.200.200.26/28 Subnet
>200.200.200.41/28 Broadcast
>
>Примерно хотелось бы так:
>200.200.200.27/28 ADSL modem PPPoA
>200.200.200.28/28 Router IN
>??? 200.200.200.29/28 Router OUT DMZ ???
>200.200.200.30/28 Domino
>200.200.200.31/28 Web+DNS
>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
>200.200.200.40/28 VoIP
>
>... Разумеется IP не реальные.

Так не получится! В таком варианте вам поможет только разбиение на подсети и просба провайдера роутить одну из подсетей которая будет в ДМЗ на ваш мопед... и то при условии что Фрюшка будет бриджем... иначе если она будет роутером у вас не хватит ИП адресов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 13-Апр-07, 11:28 
>>>>Ребят, ну неужели ни кто не может подсказать?
>>>
>>>Можешь написать ИП модема его маску + ИП выданной тебе в пользование
>>>подсети
>>
>>200.200.200.26-41 мой пул 255.255.255.240
>>
>>соответственно:
>>200.200.200.26/28 Subnet
>>200.200.200.41/28 Broadcast
>>
>>Примерно хотелось бы так:
>>200.200.200.27/28 ADSL modem PPPoA
>>200.200.200.28/28 Router IN
>>??? 200.200.200.29/28 Router OUT DMZ ???
>>200.200.200.30/28 Domino
>>200.200.200.31/28 Web+DNS
>>200.200.200.32-39 Пул для Proxy, Basic Firewall, NAT
>>200.200.200.40/28 VoIP
>>
>>... Разумеется IP не реальные.
>
>Так не получится! В таком варианте вам поможет только разбиение на подсети
>и просба провайдера роутить одну из подсетей которая будет в ДМЗ
>на ваш мопед... и то при условии что Фрюшка будет бриджем...
>иначе если она будет роутером у вас не хватит ИП адресов.
>

Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую карточку и выделять IP в две стороны? Хватит, просто для Proxy не будет пула. Я прав?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (??) on 13-Апр-07, 11:49 
>Так а вы предлагали для каждого из серверов в ROUTER втыкать сетевую
>карточку и выделять IP в две стороны? Хватит, просто для Proxy
>не будет пула. Я прав?
Не очень понял что вы имели ввиду но я вижу пока 2 пути решения:
1. НАТ

INET <-> (1)ADSL(ROUTER + DNAT)(2) <-> (3)FreeBSD(Bridge)(4) <-> (5)Servers
Адреса:
1 - 200.200.200.27/28 + проброс IP
    200.200.200.28/28 -> 10.0.0.2
    200.200.200.29/28 -> 10.0.0.3
2 - 10.0.0.1/24
3 - none
4 - none
5 - 10.0.0.2-254/24

2. Router

разбиваем вашу сеть например так:
200.200.200.26/30
200.200.200.30/30
200.200.200.34/29


INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers
Адреса:
1 - 200.200.200.27/30
2 - 200.200.200.31/30
3 - 200.200.200.32/30
4 - 200.200.200.35/29
5 - 200.200.200.36-40/29
Ну и просим что бы пров все у себя настоил что бы на вас был роутинг

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 13-Апр-07, 12:29 
>2. Router
>
>разбиваем вашу сеть например так:
>200.200.200.26/30
>200.200.200.30/30
>200.200.200.34/29
>
>
>INET <-> (1)ADSL(ROUTER)(2) <-> (3)FreeBSD(ROUTER)(4) <-> (5)Servers
>Адреса:
>1 - 200.200.200.27/30
>2 - 200.200.200.31/30
>3 - 200.200.200.32/30
>4 - 200.200.200.35/29
>5 - 200.200.200.36-40/29
>Ну и просим что бы пров все у себя настоил что бы
>на вас был роутинг

Вот я за это и был... Тока отсюда у меня и был вопрос,
>(3)FreeBSD(ROUTER)(4)
>3 - 200.200.200.32/30
>4 - 200.200.200.35/29
Это не будет петлёй?
И еще, мне не понятно каким образом выше предлагали настроить без роутинга от прова?? Для меня загадка.
Благодарю за помощь! ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (ok) on 13-Апр-07, 12:40 
>Вот я за это и был... Тока отсюда у меня и был
>вопрос,
>>(3)FreeBSD(ROUTER)(4)
>>3 - 200.200.200.32/30
>>4 - 200.200.200.35/29
>Это не будет петлёй?
Почему это должно быть петлей?

> И еще, мне не понятно каким образом выше предлагали настроить без
>роутинга от прова?? Для меня загадка.
Вы про пример с НАТом? Для меня теперь тоже :-))) ну не подумал :-)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (ok) on 13-Апр-07, 13:53 
>> И еще, мне не понятно каким образом выше предлагали настроить без
>>роутинга от прова?? Для меня загадка.
>Вы про пример с НАТом? Для меня теперь тоже :-))) ну не
>подумал :-)))
Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна в случае с НАТом и пробросом IP настройка роутинга у прова ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 13-Апр-07, 14:23 
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна
>в случае с НАТом и пробросом IP настройка роутинга у прова
>;-)
:-)
Нет я про совет от krim:
>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>3. можно и так.
Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не дойду.. Ведь в интернете будет видет тока IP модема?
И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?

>Почему это должно быть петлей?
Дык и не пойму почему, мне почему-то доказывали что будет ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (ok) on 13-Апр-07, 14:31 
>Нет я про совет от krim:
>>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>>3. можно и так.
>Я так понял krim предложил вариант без NAT и сказал что это
>будет работать без роутинга от провайдера. Вот я и не дойду..
>Ведь в интернете будет видет тока IP модема?
>И как через IP модема можно будет из интернета увидеть (без NAT
>и ISP Routing-а) белые адреса в DMZ?
См сообщение №10 ;-)

>>Почему это должно быть петлей?
>Дык и не пойму почему, мне почему-то доказывали что будет ;-)
Ну пусть приведут доказательства :-)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 13-Апр-07, 14:43 
>>и ISP Routing-а) белые адреса в DMZ?
>См сообщение №10 ;-)
Эт все моя не внимательность....
>
>>>Почему это должно быть петлей?
>>Дык и не пойму почему, мне почему-то доказывали что будет ;-)
>Ну пусть приведут доказательства :-)))
Ok! попрошу.
Я очень благодарен Вам за помощь, впереди еще техническая реализация, разговоры с провайдером etc. Я все таки скланяюсь к Вашему варианту без NAT. В долгу оставаться не хочу, для Вас хочу предложить приглашение на kpnemo.ru, нужен Ваш email

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Подскажите с планированием DMZ..."  
Сообщение от muhlik (ok) on 13-Апр-07, 15:50 
>В долгу оставаться не хочу, для Вас хочу предложить приглашение на
>kpnemo.ru, нужен Ваш email
Не знаю что это,после обеда посмотрю :-)... если что стучитесь: ICQ 6O738O3O

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 13-Апр-07, 14:24 
>Думал-думал... потом еще думал... :-))) не сбивайте метя с толку... не нужна
>в случае с НАТом и пробросом IP настройка роутинга у прова
>;-)
:-)
Нет я про совет от krim:
>1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть ?>с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и >поэтому видны с Internet без преобразования адресов.
>2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет >то не надо договариватья.
>3. можно и так.
Я так понял krim предложил вариант без NAT и сказал что это будет работать без роутинга от провайдера. Вот я и не допру.. Ведь в интернете будет видет тока IP модема?
И как через IP модема можно будет из интернета увидеть (без NAT и ISP Routing-а) белые адреса в DMZ?

>Почему это должно быть петлей?
Дык и не пойму почему, мне почему-то доказывали что будет ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Подскажите с планированием DMZ..."  
Сообщение от 123 (??) on 13-Апр-07, 09:19 
IMHO если Вы не хотите разбивать выделенные адреса на несколько подсетей, то нужно настраивать бридж. Вот здесь (http://securityportal.ru/network/FilterBridge.html) неплохо все расписано.
Т.е. будет примерно так:
ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Подскажите с планированием DMZ..."  
Сообщение от Rick email(??) on 13-Апр-07, 11:30 
>ISP -- ADSL Modem (Bridge) -- FreeBSD Bridge + FW -- DMZ -- FreeBSD Router + FW
У меня модем не бриджом, как я писал выше.
>(http://securityportal.ru/network/FilterBridge.html)
Спасибо как раз и читал, и выше приводил ссылку

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру