[GTER] Dois links na dmz

Douglas Fischer fischerdouglas at gmail.com
Mon Nov 12 15:33:58 -02 2012 

Cara,

A solução que tenho adotado, mesmo para ambientes onde o bloco é próprio, é
usar inválido nos servidores, e NAT estático para dentro.
Nada de PAT, e NAT overload só para estações...

Sei que vai chover gente falando que é uma prática inadequada, e blá blá blá
.

Mas te proporciona uma flexibilidade bem interessante.
E se teu firewall for dual stack(V4 e V6) e orientado a objetos, na hora de
subir o IPv6 vai ser uma moleza...


De um jeito ou de outro, vais ter que trocar os IPs reais dos teus
servidores
   Aí vem a hora de você fazer uma escolha:
      -Troco por IPs válidos do bloco do meu novo fornecedor de link?
      -Troco por IPs inválidos e tratos isso com NAT num bom firewall?

Pergunta cretina:
      - E se daqui a 1 ano conseguir um preço bem melhor com outro
fornecedor de link e por consequência outro bloco de ips válidos?

Em 12 de novembro de 2012 14:16, José Carlos Messias
<zehkarlos at gmail.com>escreveu:

> É o mais simples mesmo, mas o link atual vai ficar temporário,
> justamente por causa de problemas com dns, tenho principalmente
> servidores http e dns, é uma solução temporária.
>
>
> Em 12 de novembro de 2012 07:55, Douglas Fischer
> <fischerdouglas at gmail.com> escreveu:
> > Segundo link "FULL":
> >  - Pode ser Full-Duplex, no sentido de bandas de UP de DOW simétricas
> >  - Ou Full-Routing, no sentido de receber todas as rotas da Internet no
> BGP
> > com a operadora.
> > Pelo contexto das demais frases, creio que esteja falando da primeira.
> >
> > Sobre a solução para seus problemas:
> >    Solução, SOLUÇÃO Mesmo, só tem uma!
> >       ASN e Bloco de IP Próprio, e BgP com o mundo externo.
> >
> > Mas pelo o que pude imaginar, teu cenário é bem simplificado.
> >
> >    Então vem às Gamiarras:
> >       IP Inválido com dois NATs, um do ISP-A e outro do ISP-B.
> >       DNS fazendo round-robin nas duas respostas.
> >       Roteamento com base na origem para devolver o que for do ISP-A pelo
> > link-A e ISP-B pelo link-B.
> >
> >
> >    É trabalhoso pra caramba,
> >    Te gera vários problemas com DNS e tempo de vida nos caches.
> >    Mas funciona...
> >
> > Em 11 de novembro de 2012 22:58, José Carlos Messias
> > <zehkarlos at gmail.com>escreveu:
> >
> >> Caros,
> >>
> >> Estou precisando de um auxilio vou receber um segundo link full 10mbps
> >> de internet e preciso manter os servidores de internet atendendo nos
> >> dois links, atualmente tenho uma vlan com a dmz, no futuro será
> >> mantido somente o novo, quais manobras e/ou aquisições terei de fazer
> >> para conseguir este novo cenário.
> >>
> >> Desde já agradeço a colaboração.
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list