[MASOCH-L] Reestruturação do Provedor.

Rilen Tavares Lima rilen.lima at gmail.com
Thu Oct 30 19:10:26 -03 2008


Prezado Breno, segue...

2008/10/30 Breno BF <breno at lagosnet.com.br>:
> ----- Original Message -----
> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
> To: "Breno BF" <breno at lagosnet.com.br>
> Sent: Thursday, October 30, 2008 1:51 PM
> Subject: Re: [MASOCH-L] Reestruturação do Provedor.
>
>
> | Prezado Breno, segue respostas e dúvidas abaixo:
> |
>
>    Ok.
>
> | > | Prezado Breno, o proxy não está ligado no servidor web e sim na
> rede
> | > DMZ.
> | > |
> | >
> | >    Ok, mas não entendi o objetivo. Fazendo isto, estará misturando
> as
> | > coisas, IMO.
> |
> | A intenção minha é facilitar tráfego e evitar o gargalo, portanto
> | minha dúvida seria proxy no modo bridge ou lan_wan.
> |
>
>    Gargalo? Você disse abaixo que todos os equipamentos são giga.
> Você só precisa rotear, acredite você não terá diferença e estará se
> organizando melhor (IMO).

Desculpe a ignorância, o que é IMO?

>
> | >
> | > | Gostaria de ver a diferença do proxy estar em modo bridge e
> outro
> | > modo
> | > | lan_wan quanto ao seu desempenho e funcionalidades...
> | >
> | >    Em modo bridge ele estaria na mesma rede que o router. Ou se
> você
> | > colocar o firewall depois do router, como comentei, ele estará na
> | > mesma rede que uma das interfaces do fw.
> |
> | Compreendo, mas a função do firewall também é roteador da rede
> | corporativa, tem também roteador que é um link contratado da empresa
> | contemplada pela licitação, só dá dor de cabeça viver trocando
> | links/empresas... qual router está referindo?
>
>    Na figura, temos um router ligado ao proxy. Este é o router.

Ok, é um baita confusão com essa nomenclatura, gosto mais de chamar
firewall, facilita a compreensão, valeu.

>
> |
> | Por isso penso que trocar o link/router eu só terei trabalho de
> | alterar os ip's públicos nas interfaces virtuais do próprio
> firewall,
> | economizando trabalhos nos servidores da rede DMZ, pois a rede
> | 10.0.0.0/24 é inalterada ;)
> |
>
>    Você não terá problemas com isso. Veja novamente o que propus
> abaixo e entenderá. Fiz algo descentralizado:
>                        <<<<<< NAT
>  >>>>>>>>>>> ROTEMENTO
> |LAN|---|PROXY|---|FWLAN|---|ROUTER-CENTRAL|---|FW-DMZ|--|MÁQUINAS-DMZ|
>
> As redes propostas estão abaixo, A, B e C.

Eu entendi, mas não enxergo o que difere nas topologias que fiz?

>
> | Claro que aceito sugestões de sempre...
> |
> | >
> | > | Não entendi "- FW da LAN faz NAT pra trás", poderia me explicar?
> | >
> | >    Bem, pelo que eu entendi em seu exemplo temos um "roter
> central"
> | > (3 interfaces WAN, DMZ e LAN) que faz toda a distribuição. Sugeri
> | > então que atrás da interface LAN deste, fosse colocado um
> equipamento
> | > que fizesse tanto filtro de pacotes quanto o NAT para a rede
> interna
> | > (LAN), e atrás da DMZ um firewall que fizesse o filtro de pacotes
> | > (i.e. ipfw do freebsd liberando/barrando pacotes para as
> máquinas).
> | >    Neste contexto, portanto, teríamos | PROXY| --- | FW-LAN | ---
> |
> | > Router Central | --- | FW DMZ | --- | Servidores DMZ |.
> | >   Onde:
> | >    - Roteador Central(eth0 e eth1 ou um sw e somente uma delas),
> | > FW-LAN(eth0) e FW-DMZ(eth0) fomariam uma rede A.
> | >    - Proxy(eth0), Rede Interna(eth0) e FW-LAN(eth1) formariam uma
> | > rede B, onde FW-LAN faria um NAT da eth0 para eth1.
> | >    - Rede de servidores(eth0), FW-DMZ(eth1) formariam uma rede C,
> | > onde o FW-DMZ só faria roteamento e filtro de pacotes.
> | >    Portanto 3 redes.
> | >
> | > | Na verdade, o FW terá suas interfaces virtuais, ou seja,
> trabalhará
> | > | como eth0, eth0:0, eth0:1, eth0:2 e etc... sendo utilizados as
> | > regras
> | > | REDIRECT para apontar no DMZ (web, mail, dns, etc...) ou no LAN
> o
> | > que
> | > | vier necessário.
> | >
> | > É, cuidado com as gambi. Uma interface 10/100 intel não e' tao
> cara
> | > assim.
> |
> | Na verdade, todas as interfaces são gigabits, com única exceção
> 10/100
> | que é o conector do router/link (RJ45) da empresa que é ligada à
> | interface WAN do firewall.
> |
>
>    Ótimo!
>
> | Mesmo assim tomo cuidado, porém penso ainda que trabalhar com ip's
> | virtuais dá mais conforto e menos trabalhos concorda?
> |
>
>    IPs virtuais? O que quer dizer? IPs inválidos ou Interfaces
> virtuais? Bom, quanto um ou outro, eu não concordo. Cada interface
> numa rede diferente é mais organizado e evitará problemas de
> performance, broadcast de todas as redes no mesmo barramento, etc.

Desculpas, o certo seriam interfaces virtuais. Obrigdo pela atenção.

>
> | >
> | > Obs1.: Ao contrário da Cristina discordo, os servidores *devem*
> ter
> | > IPs públicos. A segurança fica por conta do FW-DMZ.
> |
> | O DMZ se tiver ip's públicos terei então criar bridge da interface
> DMZ
> | do firewall com a interface WAN do mesmo firewall? (br0 = eth0 e
> eth1)
>
>    Não necessariamente. Veja: |FW-LAN| --- | Router Central | --- |
> FW-DMZ | --- | Máquinas DMZ |
>    Sendo assim, o router central(eth0) e fw-dmz(eth0) e fw-lan(eth0)
> podem ter uma rede 10 por exemplo. E fw-dmz---Máquinas DMZ devem ter
> uma rede com ips públicos. Só será necessário então configurar
> corretamente o roteamento dos IPs públicos no Router Central e no
> FW-DMZ.
>    Espero ter sido claro e coeso.

Fiquei confuso, o firewall = router central = 3 interfaces (eth0=wan,
eth1=dmz e eth2=lan), como assim router central(eth0), fw-dmz (eth0) e
fw-lan(eth0)? São equipamentos separados?

>
> - breno bf

Rilen

>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente!

Rilen.


More information about the masoch-l mailing list