[MASOCH-L] Reestruturação do Provedor.
Rilen Tavares Lima
rilen.lima at gmail.com
Thu Oct 30 13:38:45 -03 2008
Prezado Julio,
Concordo contigo, o correto seria dois protocolos TCP e UDP da porta
53, obrigado!
2008/10/30 Julio Arruda <jarruda-gter at jarruda.com>:
> Rilen Tavares Lima wrote:
>>
>> Prezada Cristina, segue minhas dúvidas...
>>
>> 2008/10/30 Cristina Fernandes Silva <cristinafs.listas at gmail.com>:
>>
>>>
>>> Meus humildes pitacos..
>>>
>>> - Deixaria somente os meus DNS respodendo como ip publico.
>>>
>>
>> Poderia me explicar melhor o porquê disso, se fosse no DMZ liberaria
>> somente o protocolo UDP da porta 53, ou seja, fica atrás do firewall,
>> por favor me corrija...
>>
>>
>
> Teoricamente, voce precisa do TCP/53 tambem, para zone transfers, e para
> outras coisitas mais (responses maiores que 576 pelo que lembro, e algumas
> tecnicas de mitigacoes).
>
>>> - Criaria NAT do firewal para os meus servidores web, e-mail, web I,
>>> web II, ftp, messenger , ou seja eles não terão ips publicos.
>>>
>>
>> Concordo, ele tem seus ip's 10.0.0.* trabalhados com regras REDIRECT
>> do iptables.
>>
>>
>>>
>>> - Esse proxy (bridge) seria qual equipamento ?? solução ? applicance ??
>>>
>>
>> Seria solução, atualmente uso o IPCop e penso em manter seus serviços.
>>
>>
>>>
>>> - Colocaria um firewall (FreeBSD ou OpenBSD) não usuaria o roteador
>>> para as regras
>>>
>>
>> Pensei que o próprio firewall, será GNU/Linux Fedora de instalação
>> mínima, seria também o roteador, mas me dê o motivo por favor.
>>
>>
>>>
>>> - Quem controlaria a Banda dos usuarios ??
>>>
>>
>> O próprio IPCop fornece Internet a 64Kbits pela através da porta 3128
>> para todas as estações.
>>
>>
>>>
>>> Como o bruno falou.. os usuarios devem se enxergar? se não segmentar a
>>> rede
>>> dependendo do modelo do AP é possivel.
>>>
>>
>> Os AP's enxergam todas as redes através de um único roteador da AP
>> central, que por sua vez tem roteamento que não 192.168.*.* direciona
>> para o firewall que é roteador também para fora, por isso a sua
>> vantagem de permitir, por exemplo, o mensageiro instantâneo MSN sem
>> usar proxy para fora.
>>
>>
>>>
>>> 2008/10/30 Breno BF <breno at lagosnet.com.br>:
>>>
>>>>
>>>> ----- Original Message -----
>>>> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
>>>> To: "Mail Aid and Succor, On-line Comfort and Help"
>>>> <masoch-l at eng.registro.br>
>>>> Sent: Wednesday, October 29, 2008 10:41 PM
>>>> Subject: [MASOCH-L] Reestruturação do Provedor.
>>>>
>>>>
>>>> | Boa noite para todos.
>>>> |
>>>> | No momento estou estudando a reestruturação da infra-estrutura do
>>>> | provedor, um dos setores importantes da prefeitura municipal, do
>>>> qual
>>>> | sou responsável por gerenciar, controlar e manter Internet e seus
>>>> | serviços (web, mail, dns, firewall, etc...) na rede corporativa.
>>>> |
>>>> | Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
>>>> | jpg), segue minha dúvida abaixo.
>>>> |
>>>> | A minha maior dúvida é o equipamento PROXY, que será instalado como
>>>> | modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
>>>> | com vocês em relação ao desempenho e integridade dos dados que
>>>> | trafegam por ali existente, qual seria a diferença se o PROXY fosse
>>>> | instalada na sua interface "LAN" ligado ao switch da rede
>>>> corporativa
>>>> | e a WAN na dmz?
>>>> |
>>>> | Firewall também é o próprio roteador, que será responsável pelo
>>>> | roteamento da rede interna (corporativa) e a rede externa.
>>>> |
>>>> | Obrigado pelo seu tempo.
>>>> | Rilen Lima
>>>> |
>>>> | Obs.: O setor cresceu muito e por isso sua mudança da
>>>> infra-estrutura
>>>> | para melhor, antes atendia para 300 estações e agora nada menos que
>>>> | 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
>>>> | AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
>>>> |
>>>>
>>>> Meus pitacos:
>>>>
>>>> - Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
>>>> LAN e para a DMZ (poupar processamento no router e aumentar
>>>> organização).
>>>> - FW da LAN faz NAT pra trás
>>>> - FW da WAN (questões obvias) deixar em bridge
>>>> - Manter o proxy em bridge
>>>> Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
>>>> o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
>>>> redezinhas /30 para cada cliente. Ou uso de sw com private vlan.
>>>>
>>>> Obs.: Não entendi porque ligar o proxy no servidor web e portanto
>>>> desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
>>>> não ir para a internet, basta criar rotas no "router central".
>>>>
>>>> - breno bf
>>>>
>>>>
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>>
>>
>>
>>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Atenciosamente!
Rilen.
More information about the masoch-l
mailing list