[MASOCH-L] Reestruturação do Provedor.

Renato Frederick frederick at dahype.org
Thu Oct 30 15:40:45 -03 2008


Eu deixaria o firewall que está ligando á Internet do jeito que está, uma
interface WAN, uma DMZ e uma para a LAN.
Na LAN aquele proxy não seria bridge, mas sim NAT para as estações e casas.
Eu segmentaria as estações em uma interface e a rede wireless em outra(ou
VLAN's, depende do seu switch).
No firewall existira uma rede /30 até seu router, uma /28 para sua DMZ(ou
menor, não sei se o numero de máquinas é maior que o desenho) e daí
segmentaria em mais /26 (ou /25) para fornecer ip's validos para os clientes
residenciais que assim o exigirem, dependendo de seu contrato comercial.
Então, o proxy seria também um roteador, e o controle de banda dos clientes
domésticos podem ser feitos nele ou então em outro dispositivo mais próximo
da torre do cliente, por exemplo, um Mikrotik...

Fazer o redirecionamento de portas para a DMZ é uma prática muito segura, a
uso em meu trabalho, mas porém, temos que usar o split DNS(views no bind),
ou seja, internamente a máquina "email" responde como 10.x.x.x e externo
como 200.x.x.x, já'que internamente o RDR de portas não funcionaria , pois o
pacote chegou pela interface LAN e foi pra DMZ, o RDR entende que o pacote
teria que chegar na WAN e ir para DMZ.

Indiferente de se usar um NAT 1:1 ou rotamento no firewall, o importante é
separar fisicamente todos os segmentos que considero de risco:

Internet/DMZ
Estações de trabalho/Clientes Home 
Todos acima isolados da DMZ

Cuidado com o NAT, muito site na Internet, tipo megaupload, 4shared não
aceita mais de um download com o mesmo IP, talvez seja ideal dar iP válido a
todos os clientes(até por auditoria, como já foi discutido com os projetos
de leis...).

Creio que os amigos da lista podem afinar este cenário que sugeri, eu venho
utilizando algo parecido com o que relatei aqui em diversos clientes e até
agora está tudo funcionando como desejado.

Abraços!



> -----Original Message-----
> From: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
> bounces at eng.registro.br] On Behalf Of Cristina Fernandes Silva
> Sent: Thursday, October 30, 2008 12:34 PM
> To: Mail Aid and Succor, On-line Comfort and Help
> Subject: Re: [MASOCH-L] Reestruturação do Provedor.
> 
> Meus humildes pitacos..
> 
> - Deixaria somente os meus DNS respodendo como ip publico.
> - Criaria NAT do firewal para os meus servidores web, e-mail, web I,
> web II, ftp, messenger , ou seja eles não terão ips publicos.
> - Esse proxy (bridge) seria qual equipamento ?? solução ? applicance ??
> - Colocaria um firewall (FreeBSD ou OpenBSD) não usuaria o roteador
> para as regras
> - Quem controlaria a Banda dos usuarios ??
> 
> Como o bruno falou.. os usuarios devem se enxergar? se não segmentar a
> rede
> dependendo do modelo do AP é possivel.
> 
> 
> 
> 2008/10/30 Breno BF <breno at lagosnet.com.br>:
> > ----- Original Message -----
> > From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
> > To: "Mail Aid and Succor, On-line Comfort and Help"
> > <masoch-l at eng.registro.br>
> > Sent: Wednesday, October 29, 2008 10:41 PM
> > Subject: [MASOCH-L] Reestruturação do Provedor.
> >
> >
> > | Boa noite para todos.
> > |
> > | No momento estou estudando a reestruturação da infra-estrutura do
> > | provedor, um dos setores importantes da prefeitura municipal, do
> > qual
> > | sou responsável por gerenciar, controlar e manter Internet e seus
> > | serviços (web, mail, dns, firewall, etc...) na rede corporativa.
> > |
> > | Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
> > | jpg), segue minha dúvida abaixo.
> > |
> > | A minha maior dúvida é o equipamento PROXY, que será instalado como
> > | modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
> > | com vocês em relação ao desempenho e integridade dos dados que
> > | trafegam por ali existente, qual seria a diferença se o PROXY fosse
> > | instalada na sua interface "LAN" ligado ao switch da rede
> > corporativa
> > | e a WAN na dmz?
> > |
> > | Firewall também é o próprio roteador, que será responsável pelo
> > | roteamento da rede interna (corporativa) e a rede externa.
> > |
> > | Obrigado pelo seu tempo.
> > | Rilen Lima
> > |
> > | Obs.: O setor cresceu muito e por isso sua mudança da
> > infra-estrutura
> > | para melhor, antes atendia para 300 estações e agora nada menos que
> > | 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
> > | AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
> > |
> >
> > Meus pitacos:
> >
> >  - Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
> > LAN e para a DMZ (poupar processamento no router e aumentar
> > organização).
> >  - FW da LAN faz NAT pra trás
> >  - FW da WAN (questões obvias) deixar em bridge
> >  - Manter o proxy em bridge
> > Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
> > o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
> > redezinhas /30 para cada cliente. Ou uso de  sw com private vlan.
> >
> > Obs.: Não entendi porque ligar o proxy no servidor web e portanto
> > desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
> > não ir para a internet, basta criar rotas no "router central".
> >
> > - breno bf
> >
> >
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list