[MASOCH-L] Reestruturação do Provedor.

Rilen Tavares Lima rilen.lima at gmail.com
Thu Oct 30 12:42:49 BRST 2008


Prezado Breno, o proxy não está ligado no servidor web e sim na rede DMZ.

Gostaria de ver a diferença do proxy estar em modo bridge e outro modo
lan_wan quanto ao seu desempenho e funcionalidades...

Não entendi "- FW da LAN faz NAT pra trás", poderia me explicar?

Na verdade, o FW terá suas interfaces virtuais, ou seja, trabalhará
como eth0, eth0:0, eth0:1, eth0:2 e etc... sendo utilizados as regras
REDIRECT para apontar no DMZ (web, mail, dns, etc...) ou no LAN o que
vier necessário.

Grato!

2008/10/30 Breno BF <breno at lagosnet.com.br>:
> ----- Original Message -----
> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>
> Sent: Wednesday, October 29, 2008 10:41 PM
> Subject: [MASOCH-L] Reestruturação do Provedor.
>
>
> | Boa noite para todos.
> |
> | No momento estou estudando a reestruturação da infra-estrutura do
> | provedor, um dos setores importantes da prefeitura municipal, do
> qual
> | sou responsável por gerenciar, controlar e manter Internet e seus
> | serviços (web, mail, dns, firewall, etc...) na rede corporativa.
> |
> | Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
> | jpg), segue minha dúvida abaixo.
> |
> | A minha maior dúvida é o equipamento PROXY, que será instalado como
> | modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
> | com vocês em relação ao desempenho e integridade dos dados que
> | trafegam por ali existente, qual seria a diferença se o PROXY fosse
> | instalada na sua interface "LAN" ligado ao switch da rede
> corporativa
> | e a WAN na dmz?
> |
> | Firewall também é o próprio roteador, que será responsável pelo
> | roteamento da rede interna (corporativa) e a rede externa.
> |
> | Obrigado pelo seu tempo.
> | Rilen Lima
> |
> | Obs.: O setor cresceu muito e por isso sua mudança da
> infra-estrutura
> | para melhor, antes atendia para 300 estações e agora nada menos que
> | 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
> | AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
> |
>
> Meus pitacos:
>
>  - Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
> LAN e para a DMZ (poupar processamento no router e aumentar
> organização).
>  - FW da LAN faz NAT pra trás
>  - FW da WAN (questões obvias) deixar em bridge
>  - Manter o proxy em bridge
> Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
> o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
> redezinhas /30 para cada cliente. Ou uso de  sw com private vlan.
>
> Obs.: Não entendi porque ligar o proxy no servidor web e portanto
> desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
> não ir para a internet, basta criar rotas no "router central".
>
> - breno bf
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente!

Rilen.


More information about the masoch-l mailing list