[MASOCH-L] Reestruturação do Provedor.
Breno BF
breno at lagosnet.com.br
Thu Oct 30 12:20:44 -03 2008
----- Original Message -----
From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
To: "Mail Aid and Succor, On-line Comfort and Help"
<masoch-l at eng.registro.br>
Sent: Wednesday, October 29, 2008 10:41 PM
Subject: [MASOCH-L] Reestruturação do Provedor.
| Boa noite para todos.
|
| No momento estou estudando a reestruturação da infra-estrutura do
| provedor, um dos setores importantes da prefeitura municipal, do
qual
| sou responsável por gerenciar, controlar e manter Internet e seus
| serviços (web, mail, dns, firewall, etc...) na rede corporativa.
|
| Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
| jpg), segue minha dúvida abaixo.
|
| A minha maior dúvida é o equipamento PROXY, que será instalado como
| modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
| com vocês em relação ao desempenho e integridade dos dados que
| trafegam por ali existente, qual seria a diferença se o PROXY fosse
| instalada na sua interface "LAN" ligado ao switch da rede
corporativa
| e a WAN na dmz?
|
| Firewall também é o próprio roteador, que será responsável pelo
| roteamento da rede interna (corporativa) e a rede externa.
|
| Obrigado pelo seu tempo.
| Rilen Lima
|
| Obs.: O setor cresceu muito e por isso sua mudança da
infra-estrutura
| para melhor, antes atendia para 300 estações e agora nada menos que
| 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
| AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
|
Meus pitacos:
- Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
LAN e para a DMZ (poupar processamento no router e aumentar
organização).
- FW da LAN faz NAT pra trás
- FW da WAN (questões obvias) deixar em bridge
- Manter o proxy em bridge
Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
redezinhas /30 para cada cliente. Ou uso de sw com private vlan.
Obs.: Não entendi porque ligar o proxy no servidor web e portanto
desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
não ir para a internet, basta criar rotas no "router central".
- breno bf
More information about the masoch-l
mailing list