[GTER] Posicionamento de DNS externos.
Danton Nunes
danton at inexo.com.br
Tue Jan 20 12:27:28 -02 2009
On Tue, 20 Jan 2009, Cristina Fernandes Silva wrote:
> Nesta caso então a DMZ o Firewall é no modo brigde ?
não!
em primeiro lugar, DMZ faz parte do firewall, você está confundindo
roteador com filtragem (que é outra parte do firewall) com o todo.
o nome mais apropriado da DMZ é 'screened network' ou 'rede peneirada'
(veja o livro de que falei em outra mensagem, 'building internet
firewalls').
a regra básica para a rede peneirada é que ela fala (controladamente) com
a internet e fala (também controladamente) com a rede interna, mas a rede
interna não fala com a internet de jeito nenhum.
a forma ortodoxa envolve dois roteadores, o externo, entre a internet e a
DMZ e o interno entre a DMZ e a rede interna. não deve haver qualquer rota
direta da rede interna para a internet. o roteador interno não tem rota
para a internet!
rede interna ------[ rot. interno ]---- DMZ ----[ rot. externo ]------ Internet
toda a intermediação de serviços para a rede interna é feita por
servidores (conhecidos como 'bastiões' na nomenclatura de firewalls) na
DMZ. podem ficar na DMZ além de servidores de nomes, agentes de transporte
de correio eletrônico, procuradores de web tipo squid, coisas assim.
a idéia é que não se perca muita coisa se os bastiões forem comprometidos
e que qualquer comprometimento deles seja facilmente perceptível.
note que com este arranjo não há necessidade de NAT, já que os bastiões
podem ter endereços na Internet sem problemas. Há configurações em que o
roteador externo e os bastiões são de fato uma mesma máquina.
More information about the gter
mailing list