[MASOCH-L] Reestruturação do Provedor.

[Breno BF]

----- Original Message ----- 
From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
To: "Breno BF" <breno at lagosnet.com.br>
Sent: Thursday, October 30, 2008 1:51 PM
Subject: Re: [MASOCH-L] Reestruturação do Provedor.


| Prezado Breno, segue respostas e dúvidas abaixo:
|

    Ok.

| > | Prezado Breno, o proxy não está ligado no servidor web e sim na 
rede
| > DMZ.
| > |
| >
| >    Ok, mas não entendi o objetivo. Fazendo isto, estará misturando 
as
| > coisas, IMO.
|
| A intenção minha é facilitar tráfego e evitar o gargalo, portanto
| minha dúvida seria proxy no modo bridge ou lan_wan.
|

    Gargalo? Você disse abaixo que todos os equipamentos são giga. 
Você só precisa rotear, acredite você não terá diferença e estará se 
organizando melhor (IMO).

| >
| > | Gostaria de ver a diferença do proxy estar em modo bridge e 
outro
| > modo
| > | lan_wan quanto ao seu desempenho e funcionalidades...
| >
| >    Em modo bridge ele estaria na mesma rede que o router. Ou se 
você
| > colocar o firewall depois do router, como comentei, ele estará na
| > mesma rede que uma das interfaces do fw.
|
| Compreendo, mas a função do firewall também é roteador da rede
| corporativa, tem também roteador que é um link contratado da empresa
| contemplada pela licitação, só dá dor de cabeça viver trocando
| links/empresas... qual router está referindo?

    Na figura, temos um router ligado ao proxy. Este é o router.

|
| Por isso penso que trocar o link/router eu só terei trabalho de
| alterar os ip's públicos nas interfaces virtuais do próprio 
firewall,
| economizando trabalhos nos servidores da rede DMZ, pois a rede
| 10.0.0.0/24 é inalterada ;)
|

    Você não terá problemas com isso. Veja novamente o que propus 
abaixo e entenderá. Fiz algo descentralizado:
                        <<<<<< NAT 
 >>>>>>>>>>> ROTEMENTO
|LAN|---|PROXY|---|FWLAN|---|ROUTER-CENTRAL|---|FW-DMZ|--|MÁQUINAS-DMZ|

As redes propostas estão abaixo, A, B e C.

| Claro que aceito sugestões de sempre...
|
| >
| > | Não entendi "- FW da LAN faz NAT pra trás", poderia me explicar?
| >
| >    Bem, pelo que eu entendi em seu exemplo temos um "roter 
central"
| > (3 interfaces WAN, DMZ e LAN) que faz toda a distribuição. Sugeri
| > então que atrás da interface LAN deste, fosse colocado um 
equipamento
| > que fizesse tanto filtro de pacotes quanto o NAT para a rede 
interna
| > (LAN), e atrás da DMZ um firewall que fizesse o filtro de pacotes
| > (i.e. ipfw do freebsd liberando/barrando pacotes para as 
máquinas).
| >    Neste contexto, portanto, teríamos | PROXY| --- | FW-LAN | ---  
|
| > Router Central | --- | FW DMZ | --- | Servidores DMZ |.
| >   Onde:
| >    - Roteador Central(eth0 e eth1 ou um sw e somente uma delas),
| > FW-LAN(eth0) e FW-DMZ(eth0) fomariam uma rede A.
| >    - Proxy(eth0), Rede Interna(eth0) e FW-LAN(eth1) formariam uma
| > rede B, onde FW-LAN faria um NAT da eth0 para eth1.
| >    - Rede de servidores(eth0), FW-DMZ(eth1) formariam uma rede C,
| > onde o FW-DMZ só faria roteamento e filtro de pacotes.
| >    Portanto 3 redes.
| >
| > | Na verdade, o FW terá suas interfaces virtuais, ou seja, 
trabalhará
| > | como eth0, eth0:0, eth0:1, eth0:2 e etc... sendo utilizados as
| > regras
| > | REDIRECT para apontar no DMZ (web, mail, dns, etc...) ou no LAN 
o
| > que
| > | vier necessário.
| >
| > É, cuidado com as gambi. Uma interface 10/100 intel não e' tao 
cara
| > assim.
|
| Na verdade, todas as interfaces são gigabits, com única exceção 
10/100
| que é o conector do router/link (RJ45) da empresa que é ligada à
| interface WAN do firewall.
|

    Ótimo!

| Mesmo assim tomo cuidado, porém penso ainda que trabalhar com ip's
| virtuais dá mais conforto e menos trabalhos concorda?
|

    IPs virtuais? O que quer dizer? IPs inválidos ou Interfaces 
virtuais? Bom, quanto um ou outro, eu não concordo. Cada interface 
numa rede diferente é mais organizado e evitará problemas de 
performance, broadcast de todas as redes no mesmo barramento, etc.

| >
| > Obs1.: Ao contrário da Cristina discordo, os servidores *devem* 
ter
| > IPs públicos. A segurança fica por conta do FW-DMZ.
|
| O DMZ se tiver ip's públicos terei então criar bridge da interface 
DMZ
| do firewall com a interface WAN do mesmo firewall? (br0 = eth0 e 
eth1)

    Não necessariamente. Veja: |FW-LAN| --- | Router Central | --- | 
FW-DMZ | --- | Máquinas DMZ |
    Sendo assim, o router central(eth0) e fw-dmz(eth0) e fw-lan(eth0) 
podem ter uma rede 10 por exemplo. E fw-dmz---Máquinas DMZ devem ter 
uma rede com ips públicos. Só será necessário então configurar 
corretamente o roteamento dos IPs públicos no Router Central e no 
FW-DMZ.
    Espero ter sido claro e coeso.

- breno bf