[MASOCH-L] Reestruturação do Provedor.

Cristina Fernandes Silva cristinafs.listas at gmail.com
Thu Oct 30 12:34:17 BRST 2008


Meus humildes pitacos..

- Deixaria somente os meus DNS respodendo como ip publico.
- Criaria NAT do firewal para os meus servidores web, e-mail, web I,
web II, ftp, messenger , ou seja eles não terão ips publicos.
- Esse proxy (bridge) seria qual equipamento ?? solução ? applicance ??
- Colocaria um firewall (FreeBSD ou OpenBSD) não usuaria o roteador
para as regras
- Quem controlaria a Banda dos usuarios ??

Como o bruno falou.. os usuarios devem se enxergar? se não segmentar a rede
dependendo do modelo do AP é possivel.



2008/10/30 Breno BF <breno at lagosnet.com.br>:
> ----- Original Message -----
> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>
> Sent: Wednesday, October 29, 2008 10:41 PM
> Subject: [MASOCH-L] Reestruturação do Provedor.
>
>
> | Boa noite para todos.
> |
> | No momento estou estudando a reestruturação da infra-estrutura do
> | provedor, um dos setores importantes da prefeitura municipal, do
> qual
> | sou responsável por gerenciar, controlar e manter Internet e seus
> | serviços (web, mail, dns, firewall, etc...) na rede corporativa.
> |
> | Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
> | jpg), segue minha dúvida abaixo.
> |
> | A minha maior dúvida é o equipamento PROXY, que será instalado como
> | modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
> | com vocês em relação ao desempenho e integridade dos dados que
> | trafegam por ali existente, qual seria a diferença se o PROXY fosse
> | instalada na sua interface "LAN" ligado ao switch da rede
> corporativa
> | e a WAN na dmz?
> |
> | Firewall também é o próprio roteador, que será responsável pelo
> | roteamento da rede interna (corporativa) e a rede externa.
> |
> | Obrigado pelo seu tempo.
> | Rilen Lima
> |
> | Obs.: O setor cresceu muito e por isso sua mudança da
> infra-estrutura
> | para melhor, antes atendia para 300 estações e agora nada menos que
> | 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
> | AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
> |
>
> Meus pitacos:
>
>  - Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
> LAN e para a DMZ (poupar processamento no router e aumentar
> organização).
>  - FW da LAN faz NAT pra trás
>  - FW da WAN (questões obvias) deixar em bridge
>  - Manter o proxy em bridge
> Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
> o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
> redezinhas /30 para cada cliente. Ou uso de  sw com private vlan.
>
> Obs.: Não entendi porque ligar o proxy no servidor web e portanto
> desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
> não ir para a internet, basta criar rotas no "router central".
>
> - breno bf
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>


More information about the masoch-l mailing list