[MASOCH-L] Reestruturação do Provedor.

Cristina Fernandes Silva cristinafs.listas at gmail.com
Thu Oct 30 14:15:51 BRST 2008


Pois é, cada um tem um opinião, não sou de acordo
em ter os meus principais servidores com IPs públicos,  até
pq com o meu firewall (Sistema Operacional) posso bloquear
todas as portas deixando somente as portas necessarias para
acesso, como FW-DMZ iria fazer ??   Utilizamos essa solução em grande esfera,
inclusive na area governamental onde temos servidores altamente criticos.
Tambem não estou dizendo que a solução é correta.

Quanto ao DNS, vc se refere ao DNS autoritativo primario/secundario que
é responsavel pelo seu dominio ?? o e DNS recursivo ? posso ter entendido
errado.



2008/10/30 Breno BF <breno at lagosnet.com.br>:
> ----- Original Message -----
> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>; <breno at lagosnet.com.br>
> Sent: Thursday, October 30, 2008 12:42 PM
> Subject: Re: [MASOCH-L] Reestruturação do Provedor.
>
>
> | Prezado Breno, o proxy não está ligado no servidor web e sim na rede
> DMZ.
> |
>
>    Ok, mas não entendi o objetivo. Fazendo isto, estará misturando as
> coisas, IMO.
>
> | Gostaria de ver a diferença do proxy estar em modo bridge e outro
> modo
> | lan_wan quanto ao seu desempenho e funcionalidades...
>
>    Em modo bridge ele estaria na mesma rede que o router. Ou se você
> colocar o firewall depois do router, como comentei, ele estará na
> mesma rede que uma das interfaces do fw.
>
> | Não entendi "- FW da LAN faz NAT pra trás", poderia me explicar?
>
>    Bem, pelo que eu entendi em seu exemplo temos um "roter central"
> (3 interfaces WAN, DMZ e LAN) que faz toda a distribuição. Sugeri
> então que atrás da interface LAN deste, fosse colocado um equipamento
> que fizesse tanto filtro de pacotes quanto o NAT para a rede interna
> (LAN), e atrás da DMZ um firewall que fizesse o filtro de pacotes
> (i.e. ipfw do freebsd liberando/barrando pacotes para as máquinas).
>    Neste contexto, portanto, teríamos | PROXY| --- | FW-LAN | --- |
> Router Central | --- | FW DMZ | --- | Servidores DMZ |.
>   Onde:
>    - Roteador Central(eth0 e eth1 ou um sw e somente uma delas),
> FW-LAN(eth0) e FW-DMZ(eth0) fomariam uma rede A.
>    - Proxy(eth0), Rede Interna(eth0) e FW-LAN(eth1) formariam uma
> rede B, onde FW-LAN faria um NAT da eth0 para eth1.
>    - Rede de servidores(eth0), FW-DMZ(eth1) formariam uma rede C,
> onde o FW-DMZ só faria roteamento e filtro de pacotes.
>    Portanto 3 redes.
>
> | Na verdade, o FW terá suas interfaces virtuais, ou seja, trabalhará
> | como eth0, eth0:0, eth0:1, eth0:2 e etc... sendo utilizados as
> regras
> | REDIRECT para apontar no DMZ (web, mail, dns, etc...) ou no LAN o
> que
> | vier necessário.
>
> É, cuidado com as gambi. Uma interface 10/100 intel não e' tao cara
> assim.
>
> Obs1.: Ao contrário da Cristina discordo, os servidores *devem* ter
> IPs públicos. A segurança fica por conta do FW-DMZ.
>
> - breno bf
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>


More information about the masoch-l mailing list