[MASOCH-L] Reestruturação do Provedor.

Breno BF breno at lagosnet.com.br
Thu Oct 30 13:12:46 BRST 2008


----- Original Message ----- 
From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>; <breno at lagosnet.com.br>
Sent: Thursday, October 30, 2008 12:42 PM
Subject: Re: [MASOCH-L] Reestruturação do Provedor.


| Prezado Breno, o proxy não está ligado no servidor web e sim na rede 
DMZ.
|

    Ok, mas não entendi o objetivo. Fazendo isto, estará misturando as 
coisas, IMO.

| Gostaria de ver a diferença do proxy estar em modo bridge e outro 
modo
| lan_wan quanto ao seu desempenho e funcionalidades...

    Em modo bridge ele estaria na mesma rede que o router. Ou se você 
colocar o firewall depois do router, como comentei, ele estará na 
mesma rede que uma das interfaces do fw.

| Não entendi "- FW da LAN faz NAT pra trás", poderia me explicar?

    Bem, pelo que eu entendi em seu exemplo temos um "roter central" 
(3 interfaces WAN, DMZ e LAN) que faz toda a distribuição. Sugeri 
então que atrás da interface LAN deste, fosse colocado um equipamento 
que fizesse tanto filtro de pacotes quanto o NAT para a rede interna 
(LAN), e atrás da DMZ um firewall que fizesse o filtro de pacotes 
(i.e. ipfw do freebsd liberando/barrando pacotes para as máquinas).
    Neste contexto, portanto, teríamos | PROXY| --- | FW-LAN | --- | 
Router Central | --- | FW DMZ | --- | Servidores DMZ |.
   Onde:
    - Roteador Central(eth0 e eth1 ou um sw e somente uma delas), 
FW-LAN(eth0) e FW-DMZ(eth0) fomariam uma rede A.
    - Proxy(eth0), Rede Interna(eth0) e FW-LAN(eth1) formariam uma 
rede B, onde FW-LAN faria um NAT da eth0 para eth1.
    - Rede de servidores(eth0), FW-DMZ(eth1) formariam uma rede C, 
onde o FW-DMZ só faria roteamento e filtro de pacotes.
    Portanto 3 redes.

| Na verdade, o FW terá suas interfaces virtuais, ou seja, trabalhará
| como eth0, eth0:0, eth0:1, eth0:2 e etc... sendo utilizados as 
regras
| REDIRECT para apontar no DMZ (web, mail, dns, etc...) ou no LAN o 
que
| vier necessário.

É, cuidado com as gambi. Uma interface 10/100 intel não e' tao cara 
assim.

Obs1.: Ao contrário da Cristina discordo, os servidores *devem* ter 
IPs públicos. A segurança fica por conta do FW-DMZ.

- breno bf




More information about the masoch-l mailing list