[MASOCH-L] Reestruturação do Provedor.

Rilen Tavares Lima rilen.lima at gmail.com
Thu Oct 30 20:41:00 BRST 2008


Prezado Renato.

2008/10/30 Renato Frederick <frederick at dahype.org>:
> Eu deixaria o firewall que está ligando á Internet do jeito que está, uma
> interface WAN, uma DMZ e uma para a LAN.
> Na LAN aquele proxy não seria bridge, mas sim NAT para as estações e casas.

Mas porque o proxy seria NAT se tem duas interfaces de rede diferente?
(eth0 = 192.168.0.0/23 e eth1 = 10.0.0.0/24 ou 189.42.0.0/28)

Favor poderia me explicar como é o NAT do proxy.

> Eu segmentaria as estações em uma interface e a rede wireless em outra(ou
> VLAN's, depende do seu switch).

O cenário daqui onde trabalho, cada rede de um prédio tem um AP, que
todos os AP's roteiam para o AP central, esse AP central é um
equipamento com diversas placas de rede para cada transmissor, que por
sua vez fora da rede roteiam para esse firewall que estou
mencionando...

Por incrível que pareça, todas as estações de qualquer AP's tem um
único proxy de outro AP que funciona uma maravilha, apesar de ficar
lenta a navegabilidade nos horários de pico.

Esse cenário dura quase 3 anos.

Bom, não estou preocupado com esses AP's, somente quero mudar o quadro
funcional do Provedor ;)

> No firewall existira uma rede /30 até seu router, uma /28 para sua DMZ(ou
> menor, não sei se o numero de máquinas é maior que o desenho) e daí
> segmentaria em mais /26 (ou /25) para fornecer ip's validos para os clientes
> residenciais que assim o exigirem, dependendo de seu contrato comercial.
> Então, o proxy seria também um roteador, e o controle de banda dos clientes
> domésticos podem ser feitos nele ou então em outro dispositivo mais próximo
> da torre do cliente, por exemplo, um Mikrotik...

Na verdade o Provedor é do governo, distribuição de Internet para os
setores da prefeitura municipal e não para habitantes coo provedores
comerciais.

>
> Fazer o redirecionamento de portas para a DMZ é uma prática muito segura, a
> uso em meu trabalho, mas porém, temos que usar o split DNS(views no bind),
> ou seja, internamente a máquina "email" responde como 10.x.x.x e externo
> como 200.x.x.x, já'que internamente o RDR de portas não funcionaria , pois o
> pacote chegou pela interface LAN e foi pra DMZ, o RDR entende que o pacote
> teria que chegar na WAN e ir para DMZ.

Também acho que o REDIRECT seja eficiente para atender a demanda.

Valeu pelo aviso, vou estudar sobre o split DNS.

>
> Indiferente de se usar um NAT 1:1 ou rotamento no firewall, o importante é
> separar fisicamente todos os segmentos que considero de risco:
>
> Internet/DMZ
> Estações de trabalho/Clientes Home
> Todos acima isolados da DMZ

Ok, ciente disso...

>
> Cuidado com o NAT, muito site na Internet, tipo megaupload, 4shared não
> aceita mais de um download com o mesmo IP, talvez seja ideal dar iP válido a
> todos os clientes(até por auditoria, como já foi discutido com os projetos
> de leis...).

Ok, estou ciente disso...

>
> Creio que os amigos da lista podem afinar este cenário que sugeri, eu venho
> utilizando algo parecido com o que relatei aqui em diversos clientes e até
> agora está tudo funcionando como desejado.
>
> Abraços!

Muito obrigado e abraços!

>
>
>
>> -----Original Message-----
>> From: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
>> bounces at eng.registro.br] On Behalf Of Cristina Fernandes Silva
>> Sent: Thursday, October 30, 2008 12:34 PM
>> To: Mail Aid and Succor, On-line Comfort and Help
>> Subject: Re: [MASOCH-L] Reestruturação do Provedor.
>>
>> Meus humildes pitacos..
>>
>> - Deixaria somente os meus DNS respodendo como ip publico.
>> - Criaria NAT do firewal para os meus servidores web, e-mail, web I,
>> web II, ftp, messenger , ou seja eles não terão ips publicos.
>> - Esse proxy (bridge) seria qual equipamento ?? solução ? applicance ??
>> - Colocaria um firewall (FreeBSD ou OpenBSD) não usuaria o roteador
>> para as regras
>> - Quem controlaria a Banda dos usuarios ??
>>
>> Como o bruno falou.. os usuarios devem se enxergar? se não segmentar a
>> rede
>> dependendo do modelo do AP é possivel.
>>
>>
>>
>> 2008/10/30 Breno BF <breno at lagosnet.com.br>:
>> > ----- Original Message -----
>> > From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
>> > To: "Mail Aid and Succor, On-line Comfort and Help"
>> > <masoch-l at eng.registro.br>
>> > Sent: Wednesday, October 29, 2008 10:41 PM
>> > Subject: [MASOCH-L] Reestruturação do Provedor.
>> >
>> >
>> > | Boa noite para todos.
>> > |
>> > | No momento estou estudando a reestruturação da infra-estrutura do
>> > | provedor, um dos setores importantes da prefeitura municipal, do
>> > qual
>> > | sou responsável por gerenciar, controlar e manter Internet e seus
>> > | serviços (web, mail, dns, firewall, etc...) na rede corporativa.
>> > |
>> > | Gostaria que avaliassem comigo a topologia que fiz em anexo (figura
>> > | jpg), segue minha dúvida abaixo.
>> > |
>> > | A minha maior dúvida é o equipamento PROXY, que será instalado como
>> > | modo BRIDGE na rede interna (corporativa), porém quero avaliar junto
>> > | com vocês em relação ao desempenho e integridade dos dados que
>> > | trafegam por ali existente, qual seria a diferença se o PROXY fosse
>> > | instalada na sua interface "LAN" ligado ao switch da rede
>> > corporativa
>> > | e a WAN na dmz?
>> > |
>> > | Firewall também é o próprio roteador, que será responsável pelo
>> > | roteamento da rede interna (corporativa) e a rede externa.
>> > |
>> > | Obrigado pelo seu tempo.
>> > | Rilen Lima
>> > |
>> > | Obs.: O setor cresceu muito e por isso sua mudança da
>> > infra-estrutura
>> > | para melhor, antes atendia para 300 estações e agora nada menos que
>> > | 1300 nas diversas redes inclusive via rádio (prédios), por exemplo:
>> > | AP1 = 192.168.2.0/23, AP2 = 192.168.4.0/23 e assim por diante...
>> > |
>> >
>> > Meus pitacos:
>> >
>> >  - Ter duas máquinas dedicadas a fazer o filtro de pacotes (fw) pra
>> > LAN e para a DMZ (poupar processamento no router e aumentar
>> > organização).
>> >  - FW da LAN faz NAT pra trás
>> >  - FW da WAN (questões obvias) deixar em bridge
>> >  - Manter o proxy em bridge
>> > Me pergunto se os clientes (prédio) devem se enxergar? Se não, sugiro
>> > o uso um routerzinho (i386+linux?) antes do AP e a criação de várias
>> > redezinhas /30 para cada cliente. Ou uso de  sw com private vlan.
>> >
>> > Obs.: Não entendi porque ligar o proxy no servidor web e portanto
>> > desconsiderei a segunda ilustração. Se for para o tráfego estações-dmz
>> > não ir para a internet, basta criar rotas no "router central".
>> >
>> > - breno bf
>> >
>> >
>> >
>> > __
>> > masoch-l list
>> > https://eng.registro.br/mailman/listinfo/masoch-l
>> >
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente!

Rilen.


More information about the masoch-l mailing list