[GTER] Posicionamento de DNS externos.

[Danton Nunes]

On Tue, 20 Jan 2009, Cristina Fernandes Silva wrote:

> Nesta caso então a DMZ o Firewall é no modo brigde ?

não!

em primeiro lugar, DMZ faz parte do firewall, você está confundindo 
roteador com filtragem (que é outra parte do firewall) com o todo.

o nome mais apropriado da DMZ é 'screened network' ou 'rede peneirada' 
(veja o livro de que falei em outra mensagem, 'building internet 
firewalls').

a regra básica para a rede peneirada é que ela fala (controladamente) com 
a internet e fala (também controladamente) com a rede interna, mas a rede 
interna não fala com a internet de jeito nenhum.

a forma ortodoxa envolve dois roteadores, o externo, entre a internet e a 
DMZ e o interno entre a DMZ e a rede interna. não deve haver qualquer rota 
direta da rede interna para a internet. o roteador interno não tem rota 
para a internet!

rede interna ------[ rot. interno ]---- DMZ ----[ rot. externo ]------ Internet

toda a intermediação de serviços para a rede interna é feita por 
servidores (conhecidos como 'bastiões' na nomenclatura de firewalls) na 
DMZ. podem ficar na DMZ além de servidores de nomes, agentes de transporte 
de correio eletrônico, procuradores de web tipo squid, coisas assim.

a idéia é que não se perca muita coisa se os bastiões forem comprometidos 
e que qualquer comprometimento deles seja facilmente perceptível.

note que com este arranjo não há necessidade de NAT, já que os bastiões 
podem ter endereços na Internet sem problemas. Há configurações em que o 
roteador externo e os bastiões são de fato uma mesma máquina.