Re: [GTER] Solução para firewall/nat

RK rk at ufrnet.br
Mon Aug 9 12:08:49 -03 2004


Henrique,

Tem uma série de erros/problemas em sua rede.

O seu firewall está sub-utilizado. Fazendo somente a filtragem
Internet/Intranet. Sua DMZ não é DMZ. É um range de máquinas dentro de sua
Intranet. Para ser DMZ deveria estar isolada. Seu endereçamento interno
está errado (128.1 ???). Suas unidades remotas são confiáveis? Se não
inteiramente (e até para diferenciar o tráfego interno do remoto) deveria
também estarem isolados.

Espeta mais duas placas de rede nesse firewall e coloca uma sub-rede para
as unidades remotas (Barueri, Fortaleza e Olaria) e outra para sua DMZ.
Você tem endereços Públicos além do que faz o mascaramento? Se tiver um
número razoável, segmenta e coloca IPs públicos nas máquinas da DMZ, se
tem poucos, faz NAT 1:1 nas máquinas da DMZ.

Por que não usa os IPs reservados para Intranet? (10,172 ou 192)?
Dimensione sua rede e veja se precisa de um classe A, B ou C e escolhe
dentre as opções de endereços privados.

Sugiro que, após o isolamento físico e lógico de suas redes (com a
colocação das 2 placas adicionais no firewall) coloques o Proxy na DMZ e
faça Proxy transparente (redirecionando todo o tráfego web de saída da
intranet para o proxy obrigatoriamente).

Abraço,

Ricardo Kléber
Security Officer - SI/UFRN
rk at ufrnet.br * http://www.ufrnet.br/~rk
NARIS - Núcleo de Atendimento e Resposta a Incidentes de Segurança
(http://naris.info.ufrn.br)


On Mon, 9 Aug 2004, Henrique wrote:

> Olá lista, estou com um probleminha pra resolver aqui.
> No endereço http://200.198.106.170/images/rede.jpg esta o cenario atual.
>
> Mas eu acho que nao esta certo.
>
> Esta tipo assim:
>
> Os servers que estao atras do nat, a rede interna e o firewall/gateway estao
> ligados na mesma "linha", tipo no mesmos switch's. Isto esta ok?
> Quanto ao proxy. É melhor eu colocar ele ligado ponto a ponto com gateway?
> Com um cross? Pra nao ter jeito dos caras acessarem o proxy
> sem passar pelo firewall?
>
> O Firewall é um FreeBSD se algém poder dar idéias de como melhorar isso, eu
> agradeço!
>
> Qualquer idéia é bem vinda.!
> THX
>
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter
>





More information about the gter mailing list