[MASOCH-L] Reestruturação do Provedor.

[Rilen Tavares Lima]

Prezada Cristina.

O DNS é autoritativo, sendo o primário como mestre e o secundário como escravo.

Não possuo DNS recursivo.

Sim, eu bloqueio tudo, somente deixo as portas necessárias para o DMZ
como descreve sua situação, porém a rede do DMZ é diferente do ip
público, uso 10.0.0.*/24, eu deixo o ip's público como ip virtual na
interface WAN do firewall, que por sua vez redireciona para o DMZ.

Sabemos que cada um tem sua opinião, gosto mais de acatar todas as
opiniões e chegar a conclusão do paradoxo da segurança,
disponibilidade e trafegabilidade. Pois o que mais gosto é ouvir as
experiências de todos, seja frustrantes ou sucessos...

2008/10/30 Cristina Fernandes Silva <cristinafs.listas at gmail.com>:
> Pois é, cada um tem um opinião, não sou de acordo
> em ter os meus principais servidores com IPs públicos,  até
> pq com o meu firewall (Sistema Operacional) posso bloquear
> todas as portas deixando somente as portas necessarias para
> acesso, como FW-DMZ iria fazer ??   Utilizamos essa solução em grande esfera,
> inclusive na area governamental onde temos servidores altamente criticos.
> Tambem não estou dizendo que a solução é correta.
>
> Quanto ao DNS, vc se refere ao DNS autoritativo primario/secundario que
> é responsavel pelo seu dominio ?? o e DNS recursivo ? posso ter entendido
> errado.
>
>
>
> 2008/10/30 Breno BF <breno at lagosnet.com.br>:
>> ----- Original Message -----
>> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
>> To: "Mail Aid and Succor, On-line Comfort and Help"
>> <masoch-l at eng.registro.br>; <breno at lagosnet.com.br>
>> Sent: Thursday, October 30, 2008 12:42 PM
>> Subject: Re: [MASOCH-L] Reestruturação do Provedor.
>>
>>
>> | Prezado Breno, o proxy não está ligado no servidor web e sim na rede
>> DMZ.
>> |
>>
>>    Ok, mas não entendi o objetivo. Fazendo isto, estará misturando as
>> coisas, IMO.
>>
>> | Gostaria de ver a diferença do proxy estar em modo bridge e outro
>> modo
>> | lan_wan quanto ao seu desempenho e funcionalidades...
>>
>>    Em modo bridge ele estaria na mesma rede que o router. Ou se você
>> colocar o firewall depois do router, como comentei, ele estará na
>> mesma rede que uma das interfaces do fw.
>>
>> | Não entendi "- FW da LAN faz NAT pra trás", poderia me explicar?
>>
>>    Bem, pelo que eu entendi em seu exemplo temos um "roter central"
>> (3 interfaces WAN, DMZ e LAN) que faz toda a distribuição. Sugeri
>> então que atrás da interface LAN deste, fosse colocado um equipamento
>> que fizesse tanto filtro de pacotes quanto o NAT para a rede interna
>> (LAN), e atrás da DMZ um firewall que fizesse o filtro de pacotes
>> (i.e. ipfw do freebsd liberando/barrando pacotes para as máquinas).
>>    Neste contexto, portanto, teríamos | PROXY| --- | FW-LAN | --- |
>> Router Central | --- | FW DMZ | --- | Servidores DMZ |.
>>   Onde:
>>    - Roteador Central(eth0 e eth1 ou um sw e somente uma delas),
>> FW-LAN(eth0) e FW-DMZ(eth0) fomariam uma rede A.
>>    - Proxy(eth0), Rede Interna(eth0) e FW-LAN(eth1) formariam uma
>> rede B, onde FW-LAN faria um NAT da eth0 para eth1.
>>    - Rede de servidores(eth0), FW-DMZ(eth1) formariam uma rede C,
>> onde o FW-DMZ só faria roteamento e filtro de pacotes.
>>    Portanto 3 redes.
>>
>> | Na verdade, o FW terá suas interfaces virtuais, ou seja, trabalhará
>> | como eth0, eth0:0, eth0:1, eth0:2 e etc... sendo utilizados as
>> regras
>> | REDIRECT para apontar no DMZ (web, mail, dns, etc...) ou no LAN o
>> que
>> | vier necessário.
>>
>> É, cuidado com as gambi. Uma interface 10/100 intel não e' tao cara
>> assim.
>>
>> Obs1.: Ao contrário da Cristina discordo, os servidores *devem* ter
>> IPs públicos. A segurança fica por conta do FW-DMZ.
>>
>> - breno bf
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente!

Rilen.