On Sat, 12 Feb 2005, Wellington Terumi Uemura wrote: > Desculpe entrar no meio da briga :) > Mas n�o entendo sua l�gica, qual a diferen�a da sua configura��o com a > tradicional DMZ?
Nenhuma, mas eu s� dei uma sujest�o para economizar endere�os IP p�blicos (rote�veis). A minha sujest�o para o problema seria uma firewall-bridge :) > Outro ponto importante, o seu esquema � inseguro pelo fato de revelar > atrav�s de IP's v�lidos que voc� tem al�m de clientes, servidores com > v�rios IP's v�lidos. O fato de um servidor ter um ip inv�lido na > internet n�o significa que ele n�o vai funcionar, desde que, > configurado por uma pessoa capacitada ele deve funcionar de forma > totalmente transparente para o usu�rio. Concordo em parte, o fato do IP do servidor ser publico ou privado n�o � relevante para mais ou menos serguran�a. O servi�o principal (ou outros) sempre ser� acessivel (p.ex. http), e uma falha nele poder� ser explorada com NAT ou sem NAT, pois o acesso � liberado pela firewall! > De uma maneira ou de outra mesmo voc� n�o gostando de NAT voc� nessa > sua configura��o est� fazendo NAT, por isso n�o entendo sua l�gica, > que diferen�a tem fazer NAT de ip inv�lido para v�lido e ip v�lido > para ip inv�lido e ip v�lido novamente??? No final voc� tem um network > overhead desnecess�rio... Onde voc� viu NAT no meu exemplo? N�o � feito NAT na firewall ou no router! A configura��o que enviei economiza IPs e simplifica a tabela de roteamento, somente isso. A firewall teria somente as regras de bloqueio / permiss�o, sem NAT que neste caso � desnecess�rio. > Seu exemplo > Internet ----| roteador |--------------| firewall |---------| rede interna > 200.x.x.1 192.168.0.1 192.168.0.2 200.x.x.4 200.x.x.0/24 > > Meu exemplo > Internet ----| roteador |----------| firewall |------------------| rede > interna > x.x.x.x__200.x.x.x___200.x.x.x___192.168.x.x__192.168.x.x/x > > No seu exemplo voc� tem que fazer 2 processos de NAT e 2 roteamentos, > IP v�lido > Ip inv�lido > IP V�lido > No meu exemplo voc� tem que fazer 1 processo de roteamento e 1 NAT, > IP inv�lido > ip v�lido. No meu exemplo: sem NAT :) > Por quest�es de funcionalidade, internamente ter um ip inv�lido n�o > deve reduzir em nada as funcionalidades dos servidores....Vamos por > exemplo pegar o cabe�alho de uma mensagem que envie de dentro do meu > servidor para o gmail. Isto, depende do servi�o alguns dependem (H323, FTP) de m�dulos especificos, e em alguns casos n�o funcionam! Outros servi�os (HTTP, SMTP) funcionam sem problemas! Antonio. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Antonio S. Martins Jr. - Support Analist | "Only The Shadow Knows | | Universidade Estadual de Maringa - Brasil| what evil lurks in the | | NPD - N�cleo de Processamento de Dados | Heart of Men!" | | E-Mail: [EMAIL PROTECTED] / [EMAIL PROTECTED] | !!! Linux User: 52392 !!! | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
