Alberto, si es verdad que se puede tener mas de una IP por placa pero yo tengo que hacer un ruteo multiple con balance de cargas entre las 2 conexiones de internet y según me comentaron alguna vez esto se puede hacer unicamente si tenes 1 sola IP por placa.
El 23/10/05, Alberto Guerra<[EMAIL PROTECTED]> escribió: > > Mirá, no he leído muy en detalle tus comentarios pero lo que sí te pueso > asegurar es que podés tener más de una interfaz de red virtual en la > misma placa de red. > > ejemplo: > > ifconfig eth0 10.1.1.22 netmask 255.255.255.0 > > ifconfig eth0:1 192.168.124.3 netmask 255.255.255.0 > > suerte > > > On Sat, 2005-10-22 at 20:13 -0300, garbaro wrote: > > Bueno, me tome unos minutos para hacer bien las cosas (que de todas > > formas era necesario para dejar todo documentado) e hice un gráfico > > con el esquema. Agregué una red mas que es insegura. > > > > No lo probe pero tengo entendido que el ruteado multiple con balanceo > > de cargas (en el FIREWALL 1) no funciona con IPs adicionales. Entonces > > aqui me surgió una duda: > > Lo normal es que la DMZ tenga una subred distinta a la LAN (ej. DMZ > > 192.168.1.0 y LAN 192.168.2.0), pero en mi caso como no puedo tener > > mas de 1 IP en la eth del FIREWALL 1 hacia adentro y ya tiene > > demasiadas placas de red como para agregar otra. > > > > FIREWALL 1 (bastion): AMD K6-500 Mhz > > - squid proxy > > > > FIREWALL 2 (contingencia): 3com Home ethernet Gateway > > - DHCP > > > > 1) Es inseguro hacer que la DMZ este en la misma subred que la LAN > > (ej. DMZ 192.168.2.1-9 y LAN 192.168.2.9-254)? A alguien se le ocurre > > alguna alternativa? > > > > 2) La maquina que hace de firewall bastion (FIREWALL 1) es media > > viejita y no se si tiene lugar para ponerle 4 placas de red. En el > > caso que no se pueda.... le pondria 3 y colgaria la red MARIA > > (insegura) del SWITCH 1. > > > > El 21/10/05, Leonardo Pigñer<[EMAIL PROTECTED]> escribió: > > > Hola, > > > > > > Osea si el primer NAT lo hace el 3com y el segundo NAT lo hace el > > > Linux no veo inconvenientes, para hacerlo más simple podés decirle al > > > 3com que natee sin hacer PAT, osea que en vez de que toda la LAN salga > > > por una única IP, que cada host de la LAN salga con su propia IP. Pero > > > de ultima, si fuera que el 3com usa PAT seguro que también > > > funcionaría. > > > > > > Saludos, > > > Leonardo > > > > > > On 10/21/05, garbaro <[EMAIL PROTECTED]> wrote: > > > > Gracias Leandro, ya estaba evaluando esa posibilidad de poner las 2 > > > > conexiones a internet al primer firewall, luego la DMZ, el firewall > > > > hardware y finalmente la LAN. > > > > Me equivoque, el firewall hardware no es CISCO sino que es un 3com > > > > home ethernet gateway muy simple. Asi que me parece que voy a poner el > > > > linux al frente con 3 eth y el 3com entre la DMZ y la LAN que > > > > inclusive me sirve para brindar DHCP. > > > > El tema de la conexion redundante a internet ya lo tengo visto. Voy a > > > > usar un ruteo multiple con balanceo de cargas. > > > > Osea en definitiva por lo que vos me decis doble NAT debería funcionar > > > > sin problemas no? > > > > > > > > PD: Gracias por tu respuesta y por ofrecerte a ver el tema personalmente > > > > > > > > El 20/10/05, Leonardo Pigñer<[EMAIL PROTECTED]> escribió: > > > > > Hola Garbaro, > > > > > > > > > > En mi opinion no veo problema con el doble NAT, pero no entiendo muy > > > > > bien tu esquema de red... porque si el Cisco (PIX ?) ya tiene una DMZ, > > > > > te podrías arreglar sin problemas solamente con eso para los dos ISPs, > > > > > que modelo de PIX tenés ? cuantas interfaces ? > > > > > Podrías poner un switch adelante del PIX, poner ahí las dos conexiones > > > > > de Internet, y el PIX nateando a la LAN por el ISP1, y al Exchange > > > > > desde la DMZ también por el ISP1, si el ISP1 se cae tendrías que > > > > > cambiar la ruta default en el PIX para que salga por el ISP2, y natear > > > > > el Exchange a la IP del ISP2 y listo... son dos comandos no más, y te > > > > > ahorras todo el quilombo de poner otro firewall con Linux... doble > > > > > nateo.... etc.... > > > > > Si no te molesta prefiero hablar fuera de la lista... :) > > > > > > > > > > Saludos!! > > > > > Leonardo > > > > > > > > > > > > > > > > > > > > On 10/20/05, garbaro <[EMAIL PROTECTED]> wrote: > > > > > > Hola a todos, > > > > > > Estoy diagramando una red para un cliente y me surgio una duda. > > > > > > Tienen 2 conexiones a internet para redundancia y tienen un exchange > > > > > > con IIS para brindar email remoto asi que sin siquiera pensarlo > > > > > > tengo > > > > > > que poner una DMZ para protegerme de los de afuera y del exchange > > > > > > tambien ;) Estos servicios en realidad pueden ser brindados por 1 > > > > > > sola > > > > > > conexion de internet. > > > > > > > > > > > > Actualmente ellos cuentas con un firewall hardware CISCO y creo que > > > > > > tienen un par de switchs para usar. Asi que lo que yo tendria que > > > > > > hacer es poner otro firewall, obviamente linux y configurar todo. > > > > > > > > > > > > La idea es armar una DMZ (con el exchange y IIS adentro) con 2 > > > > > > firewalls (una delante y otro detras). Seria algo asi: > > > > > > > > > > > > ------------------- -------------- > > > > > > | | | firewall | > > > > > > | INTERNET |---ISP1-- | linux | ------ SWITCH > > > > > > ------------------- ------------- | > > > > > > | ISP2 | ---------------- > > > > > > ----------------- | | LAN | > > > > > > | firewall |----------- SWITCH ---------------- > > > > > > | hardware | | > > > > > > ----------------- --------------------- > > > > > > | DMZ | > > > > > > --------------------- > > > > > > > > > > > > ISP1: 1 sola IP > > > > > > ISP2: 1 sola IP > > > > > > > > > > > > firewall linux: protege la LAN > > > > > > - Hace NAT > > > > > > - Deja entrar ssh (22) > > > > > > - No deja pasar nada > > > > > > - Deja salir todo > > > > > > > > > > > > firewall hardware: protege la DMZ > > > > > > - Hace NAT > > > > > > - Deja entrar (80, 443, 110 creo) > > > > > > - Deja salir todo > > > > > > > > > > > > Teniendo en cuenta esto cuando el trafico de la LAN quiera salir por > > > > > > ISP2 tendra que hacer doble NAT. Esto se puede hacer? > > > > > > -- > > > > > > Para desuscribirte tenés que visitar la página > > > > > > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > > > > > > > > > > /* Publica y encontra trabajo relacionado con softlibre en > > > > > > http://www.usla.org.ar/modules/jobs/ */ > > > > > > > > > > > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL > > > > > > PROTECTED] > > > > > > > > > > > > > > > > > > > > -- > > Para desuscribirte tenés que visitar la página > > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > > /* Publica y encontra trabajo relacionado con softlibre en > > http://www.usla.org.ar/modules/jobs/ */ > > > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED] > > > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > /* Publica y encontra trabajo relacionado con softlibre en > http://www.usla.org.ar/modules/jobs/ */ > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED] > -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ /* Publica y encontra trabajo relacionado con softlibre en http://www.usla.org.ar/modules/jobs/ */ Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]
