Una vez intente conseguir y me acuerdo que era bastante dificil aca y como en este caso seria un servidor critico el no tener repuestos seria drastico. Tal vez la mejor opcion sea poner una maquina con un mother mas completo donde tenga por lo menos 4 o 5 bancos PCI. Pero de todas formas mi pregunta inicial era sobre la subred de la DMZ... realmente creen que puede llegar a ser un problema en materia de seguridad que la DMZ este en la misma subred que la LAN?
El 23/10/05, Alberto Guerra<[EMAIL PROTECTED]> escribió: > Ok. tenés razón. > Se me ocurre otra cosa que no se si se consigue por esta zona pero en > USA había placas de red dobles o más. > > Alberto > > On Sun, 2005-10-23 at 17:59 -0300, garbaro wrote: > > Alberto, si es verdad que se puede tener mas de una IP por placa pero > > yo tengo que hacer un ruteo multiple con balance de cargas entre las 2 > > conexiones de internet y según me comentaron alguna vez esto se puede > > hacer unicamente si tenes 1 sola IP por placa. > > > > El 23/10/05, Alberto Guerra<[EMAIL PROTECTED]> escribió: > > > > > > Mirá, no he leído muy en detalle tus comentarios pero lo que sí te pueso > > > asegurar es que podés tener más de una interfaz de red virtual en la > > > misma placa de red. > > > > > > ejemplo: > > > > > > ifconfig eth0 10.1.1.22 netmask 255.255.255.0 > > > > > > ifconfig eth0:1 192.168.124.3 netmask 255.255.255.0 > > > > > > suerte > > > > > > > > > On Sat, 2005-10-22 at 20:13 -0300, garbaro wrote: > > > > Bueno, me tome unos minutos para hacer bien las cosas (que de todas > > > > formas era necesario para dejar todo documentado) e hice un gráfico > > > > con el esquema. Agregué una red mas que es insegura. > > > > > > > > No lo probe pero tengo entendido que el ruteado multiple con balanceo > > > > de cargas (en el FIREWALL 1) no funciona con IPs adicionales. Entonces > > > > aqui me surgió una duda: > > > > Lo normal es que la DMZ tenga una subred distinta a la LAN (ej. DMZ > > > > 192.168.1.0 y LAN 192.168.2.0), pero en mi caso como no puedo tener > > > > mas de 1 IP en la eth del FIREWALL 1 hacia adentro y ya tiene > > > > demasiadas placas de red como para agregar otra. > > > > > > > > FIREWALL 1 (bastion): AMD K6-500 Mhz > > > > - squid proxy > > > > > > > > FIREWALL 2 (contingencia): 3com Home ethernet Gateway > > > > - DHCP > > > > > > > > 1) Es inseguro hacer que la DMZ este en la misma subred que la LAN > > > > (ej. DMZ 192.168.2.1-9 y LAN 192.168.2.9-254)? A alguien se le ocurre > > > > alguna alternativa? > > > > > > > > 2) La maquina que hace de firewall bastion (FIREWALL 1) es media > > > > viejita y no se si tiene lugar para ponerle 4 placas de red. En el > > > > caso que no se pueda.... le pondria 3 y colgaria la red MARIA > > > > (insegura) del SWITCH 1. > > > > > > > > El 21/10/05, Leonardo Pigñer<[EMAIL PROTECTED]> escribió: > > > > > Hola, > > > > > > > > > > Osea si el primer NAT lo hace el 3com y el segundo NAT lo hace el > > > > > Linux no veo inconvenientes, para hacerlo más simple podés decirle al > > > > > 3com que natee sin hacer PAT, osea que en vez de que toda la LAN salga > > > > > por una única IP, que cada host de la LAN salga con su propia IP. Pero > > > > > de ultima, si fuera que el 3com usa PAT seguro que también > > > > > funcionaría. > > > > > > > > > > Saludos, > > > > > Leonardo > > > > > > > > > > On 10/21/05, garbaro <[EMAIL PROTECTED]> wrote: > > > > > > Gracias Leandro, ya estaba evaluando esa posibilidad de poner las 2 > > > > > > conexiones a internet al primer firewall, luego la DMZ, el firewall > > > > > > hardware y finalmente la LAN. > > > > > > Me equivoque, el firewall hardware no es CISCO sino que es un 3com > > > > > > home ethernet gateway muy simple. Asi que me parece que voy a poner > > > > > > el > > > > > > linux al frente con 3 eth y el 3com entre la DMZ y la LAN que > > > > > > inclusive me sirve para brindar DHCP. > > > > > > El tema de la conexion redundante a internet ya lo tengo visto. Voy > > > > > > a > > > > > > usar un ruteo multiple con balanceo de cargas. > > > > > > Osea en definitiva por lo que vos me decis doble NAT debería > > > > > > funcionar > > > > > > sin problemas no? > > > > > > > > > > > > PD: Gracias por tu respuesta y por ofrecerte a ver el tema > > > > > > personalmente > > > > > > > > > > > > El 20/10/05, Leonardo Pigñer<[EMAIL PROTECTED]> escribió: > > > > > > > Hola Garbaro, > > > > > > > > > > > > > > En mi opinion no veo problema con el doble NAT, pero no entiendo > > > > > > > muy > > > > > > > bien tu esquema de red... porque si el Cisco (PIX ?) ya tiene una > > > > > > > DMZ, > > > > > > > te podrías arreglar sin problemas solamente con eso para los dos > > > > > > > ISPs, > > > > > > > que modelo de PIX tenés ? cuantas interfaces ? > > > > > > > Podrías poner un switch adelante del PIX, poner ahí las dos > > > > > > > conexiones > > > > > > > de Internet, y el PIX nateando a la LAN por el ISP1, y al Exchange > > > > > > > desde la DMZ también por el ISP1, si el ISP1 se cae tendrías que > > > > > > > cambiar la ruta default en el PIX para que salga por el ISP2, y > > > > > > > natear > > > > > > > el Exchange a la IP del ISP2 y listo... son dos comandos no más, > > > > > > > y te > > > > > > > ahorras todo el quilombo de poner otro firewall con Linux... doble > > > > > > > nateo.... etc.... > > > > > > > Si no te molesta prefiero hablar fuera de la lista... :) > > > > > > > > > > > > > > Saludos!! > > > > > > > Leonardo > > > > > > > > > > > > > > > > > > > > > > > > > > > > On 10/20/05, garbaro <[EMAIL PROTECTED]> wrote: > > > > > > > > Hola a todos, > > > > > > > > Estoy diagramando una red para un cliente y me surgio una duda. > > > > > > > > Tienen 2 conexiones a internet para redundancia y tienen un > > > > > > > > exchange > > > > > > > > con IIS para brindar email remoto asi que sin siquiera pensarlo > > > > > > > > tengo > > > > > > > > que poner una DMZ para protegerme de los de afuera y del > > > > > > > > exchange > > > > > > > > tambien ;) Estos servicios en realidad pueden ser brindados por > > > > > > > > 1 sola > > > > > > > > conexion de internet. > > > > > > > > > > > > > > > > Actualmente ellos cuentas con un firewall hardware CISCO y creo > > > > > > > > que > > > > > > > > tienen un par de switchs para usar. Asi que lo que yo tendria > > > > > > > > que > > > > > > > > hacer es poner otro firewall, obviamente linux y configurar > > > > > > > > todo. > > > > > > > > > > > > > > > > La idea es armar una DMZ (con el exchange y IIS adentro) con 2 > > > > > > > > firewalls (una delante y otro detras). Seria algo asi: > > > > > > > > > > > > > > > > ------------------- -------------- > > > > > > > > | | | firewall | > > > > > > > > | INTERNET |---ISP1-- | linux | ------ SWITCH > > > > > > > > ------------------- ------------- | > > > > > > > > | ISP2 | > > > > > > > > ---------------- > > > > > > > > ----------------- | | LAN | > > > > > > > > | firewall |----------- SWITCH ---------------- > > > > > > > > | hardware | | > > > > > > > > ----------------- --------------------- > > > > > > > > | DMZ | > > > > > > > > --------------------- > > > > > > > > > > > > > > > > ISP1: 1 sola IP > > > > > > > > ISP2: 1 sola IP > > > > > > > > > > > > > > > > firewall linux: protege la LAN > > > > > > > > - Hace NAT > > > > > > > > - Deja entrar ssh (22) > > > > > > > > - No deja pasar nada > > > > > > > > - Deja salir todo > > > > > > > > > > > > > > > > firewall hardware: protege la DMZ > > > > > > > > - Hace NAT > > > > > > > > - Deja entrar (80, 443, 110 creo) > > > > > > > > - Deja salir todo > > > > > > > > > > > > > > > > Teniendo en cuenta esto cuando el trafico de la LAN quiera > > > > > > > > salir por > > > > > > > > ISP2 tendra que hacer doble NAT. Esto se puede hacer? > > > > > > > > -- > > > > > > > > Para desuscribirte tenés que visitar la página > > > > > > > > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > > > > > > > > > > > > > > /* Publica y encontra trabajo relacionado con softlibre en > > > > > > > > http://www.usla.org.ar/modules/jobs/ */ > > > > > > > > > > > > > > > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL > > > > > > > > PROTECTED] > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > Para desuscribirte tenés que visitar la página > > > > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > > > > > > /* Publica y encontra trabajo relacionado con softlibre en > > > > http://www.usla.org.ar/modules/jobs/ */ > > > > > > > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL > > > > PROTECTED] > > > > > > > > > -- > > > Para desuscribirte tenés que visitar la página > > > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > > > > /* Publica y encontra trabajo relacionado con softlibre en > > > http://www.usla.org.ar/modules/jobs/ */ > > > > > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED] > > > > > > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > /* Publica y encontra trabajo relacionado con softlibre en > http://www.usla.org.ar/modules/jobs/ */ > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED] > -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ /* Publica y encontra trabajo relacionado con softlibre en http://www.usla.org.ar/modules/jobs/ */ Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]
