Re: [GTER] Solução para firewall/nat
Lao DanTong
danton at inexo.com.br
Mon Aug 9 14:35:00 -03 2004
On Mon, 9 Aug 2004, Henrique wrote:
> Obrigado pelas respostas! Mas continuando:
>
> O Problema da rede 128.1.0.0 é antigo e to a tempo para mudar, desde que
> entrei aqui ja tinha essa rede.
> Então isso não será mais problemas. Respondendo/perguntando ao Ricardo:
é bom mesmo obedecer a BCP-5.
> Minha unidades remotas são confiáveis.
> O Problema da DMZ: Eu tenho servidores que são servidores "web" e de
> intranet. Por exemplo:
> O Servidor de email é um BDC da rede, e um dos servidores web funciona com
> um "estoque" de scripts web que
> sao acessados via netbios. Tem como fazer isso? O Servidor estar em uma dmz
> e ficar transparente para quem tenta
> acessá-lo?
o que é um BDC? se for algo a ver com domain controller de redes
microsoft, recomendo que não seja visível na internet de jeito nenhum.
DMZ de verdade é parte da internet! não entendi o que os scripts web tem a
ver com netbios.
teu modelo de firewall não é de DMZ porque a rede interna e a dos
servidores compartilha da mesma camada 2. O modelo que você segue é o
chamado "screened hosts", que pode ser suficiente para teus requisitos de
segurança.
o modelo ortodoxo de DMZ envolve dois roteadores, embora eles possam ser
realizados por uma mesma máquina:
rede interna----[roteador interno]----DMZ----[roteador externo]----Internet
os roteadores interno e externo não se falam. os servidores colocados na
DMZ são denominados bastiões e só devem ter serviços estritamente para
Internet, porisso acho que 'domain controller' ou 'netbios' aí está fora
de cogitação.
note que os segmentos de rede são segregados. a idéia é que as máquinas na
DMZ são bois de piranha, se elas forem conquistadas dificilmente poderão
ser usadas para atacar a rede interna. Uma alternativa de DMZ é faz-la com
um único roteador (segue ASCII-art, fonte monospace, por favor):
rede interna ---------[roteador]------- Internet
|
DMZ -----------+
mas tem que se tomar especial cuidado ao escrever as regrasd e controle de
acesso para evitar, mesmo via NAT, o tráfego direto entre rede interna e
Internet.
recomendo o livro de E.Zwicki e outros "Building Internet Firewalls"
editora O'Reilly.
> Hoje cada server na "DMZ" tem o seu IP válido.
Tem mais que ter mesmo, já que DMZ está na Internet.
danton
More information about the gter
mailing list