[MASOCH-L] Reestruturação do Provedor.

Omar Kaminski omar at kaminski.com
Thu Oct 30 20:47:30 -03 2008


IMO = In my opinion.
IMHO - In my humble opinion

http://www.acronymfinder.com/

[]s


----- Original Message ----- 
From: "Cristina Fernandes Silva" <cristinafs.listas at gmail.com>
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Thursday, October 30, 2008 8:29 PM
Subject: Re: [MASOCH-L] Reestruturação do Provedor.


Acho que é
IMHO - In my humble opinion
traduzindo: Na minha modesta opinião


2008/10/30 Rilen Tavares Lima <rilen.lima at gmail.com>:
> Prezado Breno, segue...
>
> 2008/10/30 Breno BF <breno at lagosnet.com.br>:
>> ----- Original Message -----
>> From: "Rilen Tavares Lima" <rilen.lima at gmail.com>
>> To: "Breno BF" <breno at lagosnet.com.br>
>> Sent: Thursday, October 30, 2008 1:51 PM
>> Subject: Re: [MASOCH-L] Reestruturação do Provedor.
>>
>>
>> | Prezado Breno, segue respostas e dúvidas abaixo:
>> |
>>
>>    Ok.
>>
>> | > | Prezado Breno, o proxy não está ligado no servidor web e sim na
>> rede
>> | > DMZ.
>> | > |
>> | >
>> | >    Ok, mas não entendi o objetivo. Fazendo isto, estará misturando
>> as
>> | > coisas, IMO.
>> |
>> | A intenção minha é facilitar tráfego e evitar o gargalo, portanto
>> | minha dúvida seria proxy no modo bridge ou lan_wan.
>> |
>>
>>    Gargalo? Você disse abaixo que todos os equipamentos são giga.
>> Você só precisa rotear, acredite você não terá diferença e estará se
>> organizando melhor (IMO).
>
> Desculpe a ignorância, o que é IMO?
>
>>
>> | >
>> | > | Gostaria de ver a diferença do proxy estar em modo bridge e
>> outro
>> | > modo
>> | > | lan_wan quanto ao seu desempenho e funcionalidades...
>> | >
>> | >    Em modo bridge ele estaria na mesma rede que o router. Ou se
>> você
>> | > colocar o firewall depois do router, como comentei, ele estará na
>> | > mesma rede que uma das interfaces do fw.
>> |
>> | Compreendo, mas a função do firewall também é roteador da rede
>> | corporativa, tem também roteador que é um link contratado da empresa
>> | contemplada pela licitação, só dá dor de cabeça viver trocando
>> | links/empresas... qual router está referindo?
>>
>>    Na figura, temos um router ligado ao proxy. Este é o router.
>
> Ok, é um baita confusão com essa nomenclatura, gosto mais de chamar
> firewall, facilita a compreensão, valeu.
>
>>
>> |
>> | Por isso penso que trocar o link/router eu só terei trabalho de
>> | alterar os ip's públicos nas interfaces virtuais do próprio
>> firewall,
>> | economizando trabalhos nos servidores da rede DMZ, pois a rede
>> | 10.0.0.0/24 é inalterada ;)
>> |
>>
>>    Você não terá problemas com isso. Veja novamente o que propus
>> abaixo e entenderá. Fiz algo descentralizado:
>>                        <<<<<< NAT
>>  >>>>>>>>>>> ROTEMENTO
>> |LAN|---|PROXY|---|FWLAN|---|ROUTER-CENTRAL|---|FW-DMZ|--|MÁQUINAS-DMZ|
>>
>> As redes propostas estão abaixo, A, B e C.
>
> Eu entendi, mas não enxergo o que difere nas topologias que fiz?
>
>>
>> | Claro que aceito sugestões de sempre...
>> |
>> | >
>> | > | Não entendi "- FW da LAN faz NAT pra trás", poderia me explicar?
>> | >
>> | >    Bem, pelo que eu entendi em seu exemplo temos um "roter
>> central"
>> | > (3 interfaces WAN, DMZ e LAN) que faz toda a distribuição. Sugeri
>> | > então que atrás da interface LAN deste, fosse colocado um
>> equipamento
>> | > que fizesse tanto filtro de pacotes quanto o NAT para a rede
>> interna
>> | > (LAN), e atrás da DMZ um firewall que fizesse o filtro de pacotes
>> | > (i.e. ipfw do freebsd liberando/barrando pacotes para as
>> máquinas).
>> | >    Neste contexto, portanto, teríamos | PROXY| --- | FW-LAN | ---
>> |
>> | > Router Central | --- | FW DMZ | --- | Servidores DMZ |.
>> | >   Onde:
>> | >    - Roteador Central(eth0 e eth1 ou um sw e somente uma delas),
>> | > FW-LAN(eth0) e FW-DMZ(eth0) fomariam uma rede A.
>> | >    - Proxy(eth0), Rede Interna(eth0) e FW-LAN(eth1) formariam uma
>> | > rede B, onde FW-LAN faria um NAT da eth0 para eth1.
>> | >    - Rede de servidores(eth0), FW-DMZ(eth1) formariam uma rede C,
>> | > onde o FW-DMZ só faria roteamento e filtro de pacotes.
>> | >    Portanto 3 redes.
>> | >
>> | > | Na verdade, o FW terá suas interfaces virtuais, ou seja,
>> trabalhará
>> | > | como eth0, eth0:0, eth0:1, eth0:2 e etc... sendo utilizados as
>> | > regras
>> | > | REDIRECT para apontar no DMZ (web, mail, dns, etc...) ou no LAN
>> o
>> | > que
>> | > | vier necessário.
>> | >
>> | > É, cuidado com as gambi. Uma interface 10/100 intel não e' tao
>> cara
>> | > assim.
>> |
>> | Na verdade, todas as interfaces são gigabits, com única exceção
>> 10/100
>> | que é o conector do router/link (RJ45) da empresa que é ligada à
>> | interface WAN do firewall.
>> |
>>
>>    Ótimo!
>>
>> | Mesmo assim tomo cuidado, porém penso ainda que trabalhar com ip's
>> | virtuais dá mais conforto e menos trabalhos concorda?
>> |
>>
>>    IPs virtuais? O que quer dizer? IPs inválidos ou Interfaces
>> virtuais? Bom, quanto um ou outro, eu não concordo. Cada interface
>> numa rede diferente é mais organizado e evitará problemas de
>> performance, broadcast de todas as redes no mesmo barramento, etc.
>
> Desculpas, o certo seriam interfaces virtuais. Obrigdo pela atenção.
>
>>
>> | >
>> | > Obs1.: Ao contrário da Cristina discordo, os servidores *devem*
>> ter
>> | > IPs públicos. A segurança fica por conta do FW-DMZ.
>> |
>> | O DMZ se tiver ip's públicos terei então criar bridge da interface
>> DMZ
>> | do firewall com a interface WAN do mesmo firewall? (br0 = eth0 e
>> eth1)
>>
>>    Não necessariamente. Veja: |FW-LAN| --- | Router Central | --- |
>> FW-DMZ | --- | Máquinas DMZ |
>>    Sendo assim, o router central(eth0) e fw-dmz(eth0) e fw-lan(eth0)
>> podem ter uma rede 10 por exemplo. E fw-dmz---Máquinas DMZ devem ter
>> uma rede com ips públicos. Só será necessário então configurar
>> corretamente o roteamento dos IPs públicos no Router Central e no
>> FW-DMZ.
>>    Espero ter sido claro e coeso.
>
> Fiquei confuso, o firewall = router central = 3 interfaces (eth0=wan,
> eth1=dmz e eth2=lan), como assim router central(eth0), fw-dmz (eth0) e
> fw-lan(eth0)? São equipamentos separados?
>
>>
>> - breno bf
>
> Rilen
>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
>
> --
> Atenciosamente!
>
> Rilen.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l 




More information about the masoch-l mailing list