[MASOCH-L] Reestruturação do Provedor.

Rilen Tavares Lima rilen.lima at gmail.com
Thu Oct 30 12:55:14 BRST 2008 

Prezada Cristina, segue minhas dúvidas...

2008/10/30 Cristina Fernandes Silva <cristinafs.listas at gmail.com>:
> Meus humildes pitacos..
>
> - Deixaria somente os meus DNS respodendo como ip publico.
Poderia me explicar melhor o porquê disso, se fosse no DMZ liberaria
somente o protocolo UDP da porta 53, ou seja, fica atrás do firewall,
por favor me corrija...

> - Criaria NAT do firewal para os meus servidores web, e-mail, web I,
> web II, ftp, messenger , ou seja eles não terão ips publicos.
Concordo, ele tem seus ip's 10.0.0.* trabalhados com regras REDIRECT
do iptables.

> - Esse proxy (bridge) seria qual equipamento ?? solução ? applicance ??
Seria solução, atualmente uso o IPCop e penso em manter seus serviços.

> - Colocaria um firewall (FreeBSD ou OpenBSD) não usuaria o roteador
> para as regras
Pensei que o próprio firewall, será GNU/Linux Fedora de instalação
mínima, seria também o roteador, mas me dê o motivo por favor.

> - Quem controlaria a Banda dos usuarios ??
O próprio IPCop fornece Internet a 64Kbits pela através da porta 3128
para todas as estações.

>
> Como o bruno falou.. os usuarios devem se enxergar? se não segmentar a rede
> dependendo do modelo do AP é possivel.
Os AP's enxergam todas as redes através de um único roteador da AP
central, que por sua vez tem roteamento que não 192.168.*.* direciona
para o firewall que é roteador também para fora, por isso a sua
vantagem de permitir, por exemplo, o mensageiro instantâneo MSN sem
usar proxy para fora.

>
>
>
> 2008/10/30 Breno BF <breno at lagosnet.com.br>:
>> ----- Original Message -----
>> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
>> To: "Mail Aid and Succor, On-line Comfort and Help"
>> <masoch-l at eng.registro.br>
>> Sent: Wednesday, October 29, 2008 10:41 PM
>> Subject: [MASOCH-L] Reestruturação do Provedor.
>>
>>
>> | Boa noite para todos.
>> |
>> | No momento estou estudando a reestruturação da infra-estrutura do
>> | provedor, um dos setores importantes da prefeitura municipal, do
>> qual
>> | sou responsável por gerenciar, controlar e manter Internet e seus
>> | serviços (web, mail, dns, firewall, etc...) na rede corporativa.
>> |
>> | Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
>> | jpg), segue minha dúvida abaixo.
>> |
>> | A minha maior dúvida é o equipamento PROXY, que será instalado como
>> | modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
>> | com vocês em relação ao desempenho e integridade dos dados que
>> | trafegam por ali existente, qual seria a diferença se o PROXY fosse
>> | instalada na sua interface "LAN" ligado ao switch da rede
>> corporativa
>> | e a WAN na dmz?
>> |
>> | Firewall também é o próprio roteador, que será responsável pelo
>> | roteamento da rede interna (corporativa) e a rede externa.
>> |
>> | Obrigado pelo seu tempo.
>> | Rilen Lima
>> |
>> | Obs.: O setor cresceu muito e por isso sua mudança da
>> infra-estrutura
>> | para melhor, antes atendia para 300 estações e agora nada menos que
>> | 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
>> | AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
>> |
>>
>> Meus pitacos:
>>
>>  - Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
>> LAN e para a DMZ (poupar processamento no router e aumentar
>> organização).
>>  - FW da LAN faz NAT pra trás
>>  - FW da WAN (questões obvias) deixar em bridge
>>  - Manter o proxy em bridge
>> Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
>> o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
>> redezinhas /30 para cada cliente. Ou uso de  sw com private vlan.
>>
>> Obs.: Não entendi porque ligar o proxy no servidor web e portanto
>> desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
>> não ir para a internet, basta criar rotas no "router central".
>>
>> - breno bf
>>
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente!

Rilen.

More information about the masoch-l mailing list