Em Dom 13 Fev 2005 15:37, Wellington Terumi Uemura escreveu:
> > Todo IP (v4) � rote�vel, exceto os inv�lidos, tais como 0.0.0.0 ou
> > 255.255.255.255. At� mesmo o 127.0.0.1 � rote�vel e roteado.
>
> Voc� entendeu o que quiz dizer.
Ele estava apenas corrigindo a nomenclatura...
> > E qual � o problema em revelar alguns IPs privativos no meio? Faz alguma
> > diferen�a? N�o ser�o acess�veis e n�o t�m nenhum servi�o rodando. S�o
> > apenas roteadores.
>
> Coloque seus servidores direto na internet ent�o, d� o mesmo efeito.
Pelo contr�rio. Coloc�-los em uma DMZ d� a garantia de que apenas os servi�os
autorizados trafegar�o. Colocando-os diretamente expostos a todos na
Internet for�aria a configura��o de prote��es adicionais e impediria diversas
regras de prote��o.
Voc� teria, por exemplo, que configurar cada m�quina para permitir ou negar a
conex�o via SSH. Em uma DMZ voc� permite a conex�o e restringe a entrada de
conex�es diretamente no firewall, permitindo que todos da rede interna
acessem as m�quinas -- ou a faixa liberada no firewall -- e negando o acesso
p�blico.
Isso para mostrar a diferen�a em apenas um dos servi�os.
> > Tem muito provedor por a� que faz isso. N�o vejo problema algum.
>
> Sim, claro que tem, por isso veja o exemplo da telef�nica que est�
> listada em tudo quanto � blacklist da internet e nem mesmo o Terra que
> � da telef�nica aceita emails da sua pr�pria rede.
Se esta fosse uma lista de engenharia de redes, poder�amos discutir mais sobre
o assunto. O pessoal da GT-ER "adora" essas coisas.
> Entendo, mas o problema da sua proposta � colocar IP's v�lidos dentro
> da rede e o mais importante, que estes IP's perten�am a voc� e
> dependendo da quantidade de servidores internos estes n�o ser�o
> suficientes.
N�o � *dentro* da rede. � na *DMZ*. S�o tr�s redes distintas, quando voc�
cria uma DMZ:
- Internet
- intranet
- DMZ
Ningu�m "entra" na intranet, nem mesmo a DMZ. Todos saem -- controlada ou
livremente -- para a Internet. Apenas tr�fego para determinados servi�os
entra na DMZ, independente da origem (costuma-se ter mais liberdade para
tr�fego originado na intranet).
> J� v� que seu problema se resume b�sicamente em FTP, temos dois
O exemplo dado foi com H.323, usado em VoIP (entre outros). J� s�o dois
protocolos. Se voc� considerar as tecnologias mais leves e recentes, como
SIP, j� s�o tr�s. Adicione a isto P2P, IRC, etc. que voc� come�a a ter uma
quantidade grande de protocolos a tratar.
> H.323, SIP... tem mais algum que gostaria de de informar??
> Talvez voc� n�o tenha visto ainda o site
> http://openh323proxy.sourceforge.net/ mas sem problemas...
Mais um servi�o rodando no firewall, ou seja, mais uma fonte de
vulnerabilidades em potencial... O firewall ideal � firewall. S�. N�o �
proxy, n�o � servidor de email, n�o � servidor VPN, n�o � servidor de nada.
Ao violar isto, voc� come�a a adicionar pontos de falha e a tornar a rede mais
vulner�vel.
> N�o me interessa o que o Linux, Windows, Machintosh, Unix, BSD's
> [....] pode ou n�o fazer, o que tem ou n�o tem suporte para tanto, o
> que me interessa � o que eles podem fazer, se um patch resolve meu
> problema �timo, se um Linux me atende �timo, caso contr�rio existem
> outras solu��es.
Concordo plena e completamente. Mas, um remendo -- patch -- j� come�a com a
preocupa��o do nome... E, al�m disso, h� a fuga do conceito de firewall.
> � muito relativo, o erro pode haver tanto com uma ou nenhuma regra, eu
> posso montar uma super regra de firewall e n�o configurar o servidor
> corretamente e vice versa.
Voc� pode n�o configurar o servidor corretamente com DMZ, sem DMZ, com
firewall e sem firewall. Esta � uma constante. Voc� adiciona, ent�o, uma
segunda camada de falhas: as regras no firewall.
> Vamos colocar do ponto de vista do usu�rio ent�o, j� que NAT � t�o
> ruim ent�o � mais l�gico para voc� fazer com que um escrit�rio com 500
> computadores todos tenham IP's v�lidos, para n�o quebrar a
> "conectividade global" mas quebrar o bolso de quem paga por isso n�o
> tem problema.
O uso de IPv6 ainda n�o � t�o difundido, mas eu tinha uma rede /48. Sem
custos. Tinha um IP para cada formiga daqui de casa, para todos os
computadores, e ainda sobravam IPs. A densidade de IPs por metro quadrado �
bem maior que a densidade de m�quinas que voc� consegue colocar e utilizar
ali.
> Ou mesmo o usu�rio de internet que tem tr�s computadores em casa, s�
> para n�o quebrar a conectividade global o ideal tem que pagar tr�s
> vezes mais s� para ter IP's v�lidos nos seus computadores.
Ou usar IPv6. Pode at� usar um gateway IPv6 -> IPv4, mas assim ele reduz a
sua conectividade tamb�m...
Eu, como j� disse, n�o concordo com a aboli��o de NAT como prega o Thiago, mas
tamb�m entendo muito bem os motivos que ele alega.
No final, o engenheiro que projeta a rede deve decidir o modo como ser� feita
a mesma. E ele deve justificar e apresentar as solu��es para os problemas.
Com as solu��es, procura-se o software ou hardware que as implemente.
Sds,
--
Godoy. <[EMAIL PROTECTED]>
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
