Carlos Eduardo wrote: > O que acontece é que preciso que vendedores tenham acesso ao servidor > ftp interno, nessa mesma maquina roda terminal server (ela é windows).
Isso não explica porque você tem duas subredes privadas (192.168.0.0/24 e 10.1.1.0/24). Outra coisa: o que exatamente tem o FTP que você precisa? Já pensou em utilizar um protocolo mais moderno, como WebDAV? E FTP é Unix... solução de FTP em Windows será sempre esquisita, pois o Windows não suporta o mesmo modelo de permissões que o FTP supõe. Mais uma coisa: expor Terminal Services para a internet é sempre uma péssima idéia. > Bom a dificuldade é que preciso que quando os vendedores conectarem nela > por ex. no terminal server eles não tenham acesso aos computadores da > rede interna. Se o vendedor se conecta ao Terminal Services, é como se ele estivesse de fato naquela máquina, ou seja, ele *tem* acesso à sua rede interna. Não se ludibrie achando que terá alguma solução mágica que vai diferenciar um usuário interno de um usuário remoto... na verdade até tem, mas é uma falsa sensação de segurança. Se você precisa que usuários remotos tenham acesso a recursos internos da empresa, é melhor você aceitar o fato de que usuários remotos tem os mesmos privilégios dos usuários locais, e começar a construir sua segurança em volta disso. De que forma? Configurando uma VPN entre o computador do usuário remoto e a sua rede interna. Use autenticação de chaves simétricas, protegidas por uma boa senha, mantenha controle e homologação dos computadores que os usuários remotos irão utilizar para se conectar, etc. > Essa maquina que roda o ftp e terminal server está atualmente na mesma > faixa de ips que nossos computadores usam, por que precisamos acessar > ela também da rede interna. Está notando a contradição na sua própria idéia da topologia de rede? Dependendo da sua situação, você poderia resolver usando uma DMZ, mas não sei se encaixa no seu caso. E de qualquer forma, você tem que se livrar desse NAT se quiser que o FTP funcione bem, ou se livrar do FTP por algum outro protocolo. > Acho que no outro e-mail faltou eu explicar sobre o terminal server.. me > desculpem por favor é que eu me perco pra explicar as coisas. > Acho que agora da pra entender melhor o que preciso. Ainda falta informações... você está dentro do ambiente, você está vendo tudo, e está explicando do seu ponto de vista, sem considerar que nós não estamos enxergando nada do que você está enxergando. Quando for explicar, você tem que partir do princípio que nós somos totalmente ignorantes quanto à sua configuração. Eu ainda não entendi porque a diferença entre as subredes 192.168.0.0/24 e 10.1.1.0/24, o motivo que estão separadas, quais equipamentos (roteadores) estão fazendo essa separação, o motivo de ter tal separação e o motivo do servidor que você quer acessar estar atrás de um NAT, e não ter IP público. Desenhe se for preciso, pelo menos eu não me ofendo. Talvez você tenha um problema maior que é a topologia da sua rede. -- Juliano F. Ravasi ·· http://juliano.info/ 5105 46CC B2B7 F0CD 5F47 E740 72CA 54F4 DF37 9E96 "A candle loses nothing by lighting another candle." -- Erin Majors * NOTE: Don't try to reach me through this address, use "contact@" instead. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
