Re: (linux-br) Firewall entre roteador e dois servidores com ips verdadeiros

Thu, 10 Feb 2005 10:13:50 -0800 

Edilson Rahal Tavares wrote:
>sem alterar os IPs nÃo serà possÃvel, a menos que vocà altere a
> estrutura.

Vou mais alÃm: sem alterar a estrutura nÃo vai ser possÃvel. Afinal, se 
vocà quer colocar um firewall *entre* o roteador e os servidores, que 
estÃo na mesma rede hoje, vai ter que dividir a rede em duas.

>O mais comum neste caso seria vocà ter uma DMZ (Rede desmilitarizada)
>onde ficariam os servidores. Esses servidores utilizariam IPs invÃlidos
>(por exemplo 192.168.1.2 e 192.168.1.3)

Nesse caso nÃo à DMZ.

>O Firewall ficaria entre o roteador e os servidores fazendo o trabalho
> de seguranÃa e traduÃÃo dos endereÃos (vÃlidos para invÃlidos, etc).

NÃo acho uma boa colocar servidores com IPs privativos. DÃ-lhes os IPs 
pÃblicos de uma vez por todas. O Ãnico problema serà a divisÃo da sua 
rede.

Uma opÃÃo à fazer sub-redes, mas hà desperdÃcio de IPs dessa maneira.

O que eu recomendo à mais ou menos assim:

Internet ----| roteador |--------------| firewall |---------| rede interna
       200.x.x.1    192.168.0.1 192.168.0.2   200.x.x.4      200.x.x.0/24

O seu roteador vocà deverà configurar com as seguintes rotas:

destino       mÃscara         gateway      dispositivo
0.0.0.0       0.0.0.0         o seu gateway de Internet
192.168.0.2   255.255.255.0   -            o da interface 192.168.0.1
200.x.x.0     255.255.255.0   192.168.0.2  -

Jà o seu firewall, que eu assumo ser um Linux, vocà deverà ter as rotas:
destino       mÃscara         gateway      dispositivo
0.0.0.0       0.0.0.0         200.x.x.1    -
192.168.0.1   255.255.255.0   -            o da interface 192.168.0.2
200.x.x.1     255.255.255.255 192.168.0.1  -
200.x.x.0     255.255.255.0   -            o da interface 200.x.x.4

Certifique-se que o frwarding està ativado e o Linux deverà fazer 
automagicamente um proxyarp para o 200.x.x.1. A sua rede vocà configurarà 
normalmente, com gateway 200.x.x.1 ou 200.x.x.4

-- 
  Thiago Macieira  -  thiago (AT) macieira (DOT) info
    PGP/GPG: 0x6EF45358; fingerprint:
    E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358

5. Swa he gÃanhwearf tà timbran, and hwonne he cÃm, lÃ! Unix cwÃà "Hello, 
World". Çfre Çghwilc wÃs glÃd and seo woruld wÃs frÃo.

---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a