[MASOCH-L] Reestruturação do Provedor.

Julio Arruda jarruda-gter at jarruda.com
Thu Oct 30 13:25:40 BRST 2008 

Rilen Tavares Lima wrote:
> Prezada Cristina, segue minhas dúvidas...
>
> 2008/10/30 Cristina Fernandes Silva <cristinafs.listas at gmail.com>:
>   
>> Meus humildes pitacos..
>>
>> - Deixaria somente os meus DNS respodendo como ip publico.
>>     
> Poderia me explicar melhor o porquê disso, se fosse no DMZ liberaria
> somente o protocolo UDP da porta 53, ou seja, fica atrás do firewall,
> por favor me corrija...
>
>   
Teoricamente, voce precisa do TCP/53 tambem, para zone transfers, e para 
outras coisitas mais (responses maiores que 576 pelo que lembro, e 
algumas tecnicas de mitigacoes).

>> - Criaria NAT do firewal para os meus servidores web, e-mail, web I,
>> web II, ftp, messenger , ou seja eles não terão ips publicos.
>>     
> Concordo, ele tem seus ip's 10.0.0.* trabalhados com regras REDIRECT
> do iptables.
>
>   
>> - Esse proxy (bridge) seria qual equipamento ?? solução ? applicance ??
>>     
> Seria solução, atualmente uso o IPCop e penso em manter seus serviços.
>
>   
>> - Colocaria um firewall (FreeBSD ou OpenBSD) não usuaria o roteador
>> para as regras
>>     
> Pensei que o próprio firewall, será GNU/Linux Fedora de instalação
> mínima, seria também o roteador, mas me dê o motivo por favor.
>
>   
>> - Quem controlaria a Banda dos usuarios ??
>>     
> O próprio IPCop fornece Internet a 64Kbits pela através da porta 3128
> para todas as estações.
>
>   
>> Como o bruno falou.. os usuarios devem se enxergar? se não segmentar a rede
>> dependendo do modelo do AP é possivel.
>>     
> Os AP's enxergam todas as redes através de um único roteador da AP
> central, que por sua vez tem roteamento que não 192.168.*.* direciona
> para o firewall que é roteador também para fora, por isso a sua
> vantagem de permitir, por exemplo, o mensageiro instantâneo MSN sem
> usar proxy para fora.
>
>   
>>
>> 2008/10/30 Breno BF <breno at lagosnet.com.br>:
>>     
>>> ----- Original Message -----
>>> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
>>> To: "Mail Aid and Succor, On-line Comfort and Help"
>>> <masoch-l at eng.registro.br>
>>> Sent: Wednesday, October 29, 2008 10:41 PM
>>> Subject: [MASOCH-L] Reestruturação do Provedor.
>>>
>>>
>>> | Boa noite para todos.
>>> |
>>> | No momento estou estudando a reestruturação da infra-estrutura do
>>> | provedor, um dos setores importantes da prefeitura municipal, do
>>> qual
>>> | sou responsável por gerenciar, controlar e manter Internet e seus
>>> | serviços (web, mail, dns, firewall, etc...) na rede corporativa.
>>> |
>>> | Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
>>> | jpg), segue minha dúvida abaixo.
>>> |
>>> | A minha maior dúvida é o equipamento PROXY, que será instalado como
>>> | modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
>>> | com vocês em relação ao desempenho e integridade dos dados que
>>> | trafegam por ali existente, qual seria a diferença se o PROXY fosse
>>> | instalada na sua interface "LAN" ligado ao switch da rede
>>> corporativa
>>> | e a WAN na dmz?
>>> |
>>> | Firewall também é o próprio roteador, que será responsável pelo
>>> | roteamento da rede interna (corporativa) e a rede externa.
>>> |
>>> | Obrigado pelo seu tempo.
>>> | Rilen Lima
>>> |
>>> | Obs.: O setor cresceu muito e por isso sua mudança da
>>> infra-estrutura
>>> | para melhor, antes atendia para 300 estações e agora nada menos que
>>> | 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
>>> | AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
>>> |
>>>
>>> Meus pitacos:
>>>
>>>  - Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
>>> LAN e para a DMZ (poupar processamento no router e aumentar
>>> organização).
>>>  - FW da LAN faz NAT pra trás
>>>  - FW da WAN (questões obvias) deixar em bridge
>>>  - Manter o proxy em bridge
>>> Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
>>> o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
>>> redezinhas /30 para cada cliente. Ou uso de  sw com private vlan.
>>>
>>> Obs.: Não entendi porque ligar o proxy no servidor web e portanto
>>> desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
>>> não ir para a internet, basta criar rotas no "router central".
>>>
>>> - breno bf
>>>
>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>       
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>     
>
>
>
>

More information about the masoch-l mailing list