Con el tema de las ips, a mi me pasa algo similar y una posibilidad q estoy manejando es usar aliases para las placas tipo ethx:0,1,etc y utilizar distintas ips para cada una.... Hasta donde se el linux las trata casi de la misma manera q una interfaz fisica... pero bue.. no lo probe y seria bueno tener la opinion de alguien mas experimentado. Usaste algun how to para armar el balanceo?, tengo los proveedores pero todavia no lo pude armar bien.. .tenes configurado algun tipo de file over por si un proveedor se cae rutear todo el trafico por el otro automaticamente??...
Saludos Cristian On 10/22/05, garbaro <[EMAIL PROTECTED]> wrote: > Bueno, me tome unos minutos para hacer bien las cosas (que de todas > formas era necesario para dejar todo documentado) e hice un gráfico > con el esquema. Agregué una red mas que es insegura. > > No lo probe pero tengo entendido que el ruteado multiple con balanceo > de cargas (en el FIREWALL 1) no funciona con IPs adicionales. Entonces > aqui me surgió una duda: > Lo normal es que la DMZ tenga una subred distinta a la LAN (ej. DMZ > 192.168.1.0 y LAN 192.168.2.0), pero en mi caso como no puedo tener > mas de 1 IP en la eth del FIREWALL 1 hacia adentro y ya tiene > demasiadas placas de red como para agregar otra. > > FIREWALL 1 (bastion): AMD K6-500 Mhz > - squid proxy > > FIREWALL 2 (contingencia): 3com Home ethernet Gateway > - DHCP > > 1) Es inseguro hacer que la DMZ este en la misma subred que la LAN > (ej. DMZ 192.168.2.1-9 y LAN 192.168.2.9-254)? A alguien se le ocurre > alguna alternativa? > > 2) La maquina que hace de firewall bastion (FIREWALL 1) es media > viejita y no se si tiene lugar para ponerle 4 placas de red. En el > caso que no se pueda.... le pondria 3 y colgaria la red MARIA > (insegura) del SWITCH 1. > > El 21/10/05, Leonardo Pigñer<[EMAIL PROTECTED]> escribió: > > Hola, > > > > Osea si el primer NAT lo hace el 3com y el segundo NAT lo hace el > > Linux no veo inconvenientes, para hacerlo más simple podés decirle al > > 3com que natee sin hacer PAT, osea que en vez de que toda la LAN salga > > por una única IP, que cada host de la LAN salga con su propia IP. Pero > > de ultima, si fuera que el 3com usa PAT seguro que también > > funcionaría. > > > > Saludos, > > Leonardo > > > > On 10/21/05, garbaro <[EMAIL PROTECTED]> wrote: > > > Gracias Leandro, ya estaba evaluando esa posibilidad de poner las 2 > > > conexiones a internet al primer firewall, luego la DMZ, el firewall > > > hardware y finalmente la LAN. > > > Me equivoque, el firewall hardware no es CISCO sino que es un 3com > > > home ethernet gateway muy simple. Asi que me parece que voy a poner el > > > linux al frente con 3 eth y el 3com entre la DMZ y la LAN que > > > inclusive me sirve para brindar DHCP. > > > El tema de la conexion redundante a internet ya lo tengo visto. Voy a > > > usar un ruteo multiple con balanceo de cargas. > > > Osea en definitiva por lo que vos me decis doble NAT debería funcionar > > > sin problemas no? > > > > > > PD: Gracias por tu respuesta y por ofrecerte a ver el tema personalmente > > > > > > El 20/10/05, Leonardo Pigñer<[EMAIL PROTECTED]> escribió: > > > > Hola Garbaro, > > > > > > > > En mi opinion no veo problema con el doble NAT, pero no entiendo muy > > > > bien tu esquema de red... porque si el Cisco (PIX ?) ya tiene una DMZ, > > > > te podrías arreglar sin problemas solamente con eso para los dos ISPs, > > > > que modelo de PIX tenés ? cuantas interfaces ? > > > > Podrías poner un switch adelante del PIX, poner ahí las dos conexiones > > > > de Internet, y el PIX nateando a la LAN por el ISP1, y al Exchange > > > > desde la DMZ también por el ISP1, si el ISP1 se cae tendrías que > > > > cambiar la ruta default en el PIX para que salga por el ISP2, y natear > > > > el Exchange a la IP del ISP2 y listo... son dos comandos no más, y te > > > > ahorras todo el quilombo de poner otro firewall con Linux... doble > > > > nateo.... etc.... > > > > Si no te molesta prefiero hablar fuera de la lista... :) > > > > > > > > Saludos!! > > > > Leonardo > > > > > > > > > > > > > > > > On 10/20/05, garbaro <[EMAIL PROTECTED]> wrote: > > > > > Hola a todos, > > > > > Estoy diagramando una red para un cliente y me surgio una duda. > > > > > Tienen 2 conexiones a internet para redundancia y tienen un exchange > > > > > con IIS para brindar email remoto asi que sin siquiera pensarlo tengo > > > > > que poner una DMZ para protegerme de los de afuera y del exchange > > > > > tambien ;) Estos servicios en realidad pueden ser brindados por 1 sola > > > > > conexion de internet. > > > > > > > > > > Actualmente ellos cuentas con un firewall hardware CISCO y creo que > > > > > tienen un par de switchs para usar. Asi que lo que yo tendria que > > > > > hacer es poner otro firewall, obviamente linux y configurar todo. > > > > > > > > > > La idea es armar una DMZ (con el exchange y IIS adentro) con 2 > > > > > firewalls (una delante y otro detras). Seria algo asi: > > > > > > > > > > ------------------- -------------- > > > > > | | | firewall | > > > > > | INTERNET |---ISP1-- | linux | ------ SWITCH > > > > > ------------------- ------------- | > > > > > | ISP2 | ---------------- > > > > > ----------------- | | LAN | > > > > > | firewall |----------- SWITCH ---------------- > > > > > | hardware | | > > > > > ----------------- --------------------- > > > > > | DMZ | > > > > > --------------------- > > > > > > > > > > ISP1: 1 sola IP > > > > > ISP2: 1 sola IP > > > > > > > > > > firewall linux: protege la LAN > > > > > - Hace NAT > > > > > - Deja entrar ssh (22) > > > > > - No deja pasar nada > > > > > - Deja salir todo > > > > > > > > > > firewall hardware: protege la DMZ > > > > > - Hace NAT > > > > > - Deja entrar (80, 443, 110 creo) > > > > > - Deja salir todo > > > > > > > > > > Teniendo en cuenta esto cuando el trafico de la LAN quiera salir por > > > > > ISP2 tendra que hacer doble NAT. Esto se puede hacer? > > > > > -- > > > > > Para desuscribirte tenés que visitar la página > > > > > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > > > > > > > > > /* Publica y encontra trabajo relacionado con softlibre en > > > > > http://www.usla.org.ar/modules/jobs/ */ > > > > > > > > > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL > > > > > PROTECTED] > > > > > > > > > > > > > > > > > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > /* Publica y encontra trabajo relacionado con softlibre en > http://www.usla.org.ar/modules/jobs/ */ > > Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED] > > > -- Cristian Celiberti -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ /* Publica y encontra trabajo relacionado con softlibre en http://www.usla.org.ar/modules/jobs/ */ Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]
