Re: [GTER] Solução para firewall/nat
Henrique
henrique at astuto.com.br
Mon Aug 9 13:25:55 -03 2004
Obrigado pelas respostas! Mas continuando:
O Problema da rede 128.1.0.0 é antigo e to a tempo para mudar, desde que
entrei aqui ja tinha essa rede.
Então isso não será mais problemas. Respondendo/perguntando ao Ricardo:
Minha unidades remotas são confiáveis.
O Problema da DMZ: Eu tenho servidores que são servidores "web" e de
intranet. Por exemplo:
O Servidor de email é um BDC da rede, e um dos servidores web funciona com
um "estoque" de scripts web que
sao acessados via netbios. Tem como fazer isso? O Servidor estar em uma dmz
e ficar transparente para quem tenta
acessá-lo?
Hoje cada server na "DMZ" tem o seu IP válido.
----- Original Message -----
From: "Ricardo Kleber" <rk at info.ufrn.br>
To: "Henrique" <henrique at astuto.com.br>; "Grupo de Trabalho de Engenharia e
Operacao de Redes" <gter at eng.registro.br>
Cc: <fugspbr at fugspbr.org>
Sent: Monday, August 09, 2004 12:05 PM
Subject: Re: [GTER] Solução para firewall/nat
> Henrique,
>
> Tem uma série de erros/problemas em sua rede.
>
> O seu firewall está sub-utilizado. Fazendo somente a filtragem
> Internet/Intranet. Sua DMZ não é DMZ. É um range de máquinas dentro de sua
> Intranet. Para ser DMZ deveria estar isolada. Seu endereçamento interno
> está errado (128.1 ???). Suas unidades remotas são confiáveis? Se não
> inteiramente (e até para diferenciar o tráfego interno do remoto) deveria
> também estarem isolados.
>
> Espeta mais duas placas de rede nesse firewall e coloca uma sub-rede para
> as unidades remotas (Barueri, Fortaleza e Olaria) e outra para sua DMZ.
> Você tem endereços Públicos além do que faz o mascaramento? Se tiver um
> número razoável, segmenta e coloca IPs públicos nas máquinas da DMZ, se
> tem poucos, faz NAT 1:1 nas máquinas da DMZ.
>
> Por que não usa os IPs reservados para Intranet? (10,172 ou 192)?
> Dimensione sua rede e veja se precisa de um classe A, B ou C e escolhe
> dentre as opções de endereços privados.
>
> Sugiro que, após o isolamento físico e lógico de suas redes (com a
> colocação das 2 placas adicionais no firewall) coloques o Proxy na DMZ e
> faça Proxy transparente (redirecionando todo o tráfego web de saída da
> intranet para o proxy obrigatoriamente).
>
> Abraço,
>
> Ricardo Kléber
> Security Officer - SI/UFRN
> rk at ufrnet.br * http://www.ufrnet.br/~rk
> NARIS - Núcleo de Atendimento e Resposta a Incidentes de Segurança
> (http://naris.info.ufrn.br)
>
>
> On Mon, 9 Aug 2004, Henrique wrote:
>
> > Olá lista, estou com um probleminha pra resolver aqui.
> > No endereço http://200.198.106.170/images/rede.jpg esta o cenario atual.
> >
> > Mas eu acho que nao esta certo.
> >
> > Esta tipo assim:
> >
> > Os servers que estao atras do nat, a rede interna e o firewall/gateway
estao
> > ligados na mesma "linha", tipo no mesmos switch's. Isto esta ok?
> > Quanto ao proxy. É melhor eu colocar ele ligado ponto a ponto com
gateway?
> > Com um cross? Pra nao ter jeito dos caras acessarem o proxy
> > sem passar pelo firewall?
> >
> > O Firewall é um FreeBSD se algém poder dar idéias de como melhorar isso,
eu
> > agradeço!
> >
> > Qualquer idéia é bem vinda.!
> > THX
> >
> > --
> > GTER list https://eng.registro.br/mailman/listinfo/gter
> >
More information about the gter
mailing list