-----Mensagem original----- De: "Marcus Vinicius." Enviado: 03/09/2012, 20:33 Para: Lista em Português sobre pfSense Assunt.: Re: [Pfsense-pt] IP publico na DMZ?
Paulo, adorei a sua ideia! Vou dar essa ideia pra eles, mas não creio que será algo pra AGORA, infelizmente! =/ Vou te ser sincero: lá, ninguém quer saber de nada. Quando digo nada, é nada mesmo. E olha que é órgão público e que, se bater o pessoal da auditoria do governo, vamos ter uma dor de cabeça gigante! O grande lance é que a TI não é a "porta de entrada" do link na instituição, é apenas um dos demais setores. Meu cenário atual: http://i49.tinypic.com/2i971nt.jpg Por favor, dê uma olhada e me diga o que achou, e ideias! rs.. Obrigado pela ajuda! Abraços. Em 3 de setembro de 2012 19:45, Paulo Henrique - BSDs Brasil <[email protected]> escreveu: > > Em 03/09/2012 19:06, Marcus Vinicius. escreveu: > >> Sim, Cleuson, são da mesma classe! >> >> Então, vamos lá! Tentarei ser o mais objetivo possível... >> >> Tenho uma rede com um range público /24 que está sendo distribuído aos >> usuários através de um DHCP, só! Gostaria de ter mais controle dela e >> não sei se continuo com os ips públicos ou se coloco NAT. Dizem que se >> for NAT, o controle é melhor e mais segurança, isso confere? Se sim, >> beleza, eu passo pra NAT. Se não for verdade e houve a possibilidade >> de ter o total controle continuando com os ips públicos, prefiro que >> seja assim, já que toda a minha rede está configurada (impressoras, >> compartilhamentos e etc) para o range público. >> >> >> Abraços. >> >> Em 3 de setembro de 2012 16:33, Cleuson Alves <[email protected]> >> escreveu: >> > Snip... > Bom vamos la Marcus, > A questão da segurança cada um tem a sua opnião, quanto a usuários finais ( > seres que utilizam computadores sem qualquer prática adequada de seguraça ) > de fato se nat é ou não mais seguro fica complicado afirmar, visto que eles > tem muita aplicação com capacidades de VPN camuflada em https, o que torna > nat e ip válido a mesma coisa. > > Minha dica, já que tem um range de IP Publico de sobra para cobrir toda a > sua rede, faça o seguinte. > Range completo ficticio: 200.002.020.0/24 > > Caso possua switch gerenciavel com suporte L3 ( pode ser static route ). > > Segmento de Acesso a Internet, ( Perimetro de Segurança ) > > 200.002.020.0/29 ==> Comunicação do seu PFSense com o Switch Core da sua > rede, somente se o switch ter suporte a roteamento, por que desse cenário, > se tudo passar pelo PFSense ele se tornará um ponto de falha unico, alem de > ser o gargalo da rede para aplicações internas da rede ( compartilhamento de > arquivo, ftp, dns, ERPs ), deixa o switch principal efetuando o papel de > Core-Router. > 200.002.020.1/29 ==> PFsense, Nic Lan. > 200.002.020.2/29 ==> Vlan de comunicação com o PFSense do Switch Core ( > Ninguem acessa o PFSense por outra Vlan ). > Os restantes dos IPs, 4 no total fica para colocar dispositivos vinculados a > roteamento, firewall, proxy, IDS. > Gateway de todos os dispositivos que estiverem nesse range, inclusive o > Switch, ( rota default 200.002.020.1/29 ). > > Segmento de Acesso aos servidores. > > 200.002.020.224/27 ==> Rede dos seus Servidores, Por que de usar o final do > range de IP, simples para evitar perder ips para Broadcast e endereço de > rede, visto que o 255 e o 0 você perder de qualquer maneira. > Configura uma VLan para eles e configura acls para somente protocolos no > qual as aplicações em execução no servidores de fato são aceitas o restante > drop geral, ai vai da sua capacidade de lidar com as ACLs por protocolos do > seu switch, se o switch principal for top, pode deixar essas acls bem > refinadas. > Na Vlan do switch dos servidores coloca o 200.002.020.225/27 > Gateway da rede dos servidores ( rota default apenas dos servidores ) => > 200.002.020.225/27 > > Vamos para o segmentos de usuários: > 200.002.020.8/29 => Rede dos mandachuvas ( diretoria ). > Usa uma vlan com o 200.002.020.9/29 no switch, todos os equipamentos da > diretoria fica nesse range ( se demais portas/switch forem gerenciaveis será > mais pratico para você gerenciar, caso a diretoria no total ultrapasse uma > quantidade legal de IPs dedica um range maior para eles ). > Todos os dispositivos dessa vlan terá como gateway o 200.002.020.9/29. > > Primeiro Range de Ips para usuário final > 200.002.020.16/28 > Vlan no switch com o ip 200.002.020.17/28 ( gateway do pessoal dessa rede ). > > Segundo range de IPs Para Usuário Final > 200.002.020.32/27 > Vlan no switch com o IP 200.002.020.33/27 ( gateway do pessoal dessa rede ). > > Terceiro range de IPs ( Departamento grande ). > 200.002.020.64/26 > Vlan no switch com o IP 200.002.020.65/26 ( gateway do pessoal dessa rede ). > > Quarta range de IPs para usuário Final ( Departamento grande ). > 200.002.020.128/26 > Vlan no switch com o IP 200.002.020.129/26 ( gateway do pessoal dessa rede > ). > > Quinto range de IPs para usuário final ( Departamento médio / pequeno ). > 200.002.020.192/27 > Vlan no switch com o IP 200.002.020.193/27 ( gateway do pessoal dessa rede > ). > > > Total de IPs não utilizaveis = 16 ( broadcast / endereço de rede ). > > Segunda forma, sem perder muito ip mais tornando eles disponiveis para a > rede de servidores depois. > > 200.002.020.0/28 ( 16 IPs - 12 reservados para o futuro ou quebrar em um /29 > e dois /30 e dedicar o /29 para a rede das impressoras ). > PFSense nic lan = 200.002.020.1/28 > IP Switch vlan0 = 200.002.020.2/28 ( gw: 200.002.020.1/28 ) > > 200.002.020.16/28 ( 16 Ips para servidores - pode usar pelo menos 8 do range > de perimetro para servidores, basta segmentar ela e alocar os demais para a > vlan1 ) > IP da vlan1 do switch-core: 200.002.020.17/28 > gateway dos servidores: 200.002.020.17/28 > Capacidade para 14 servidores ( interfaces de rede de servidores ). > > 200.002.020.32/27 Primeiro range de usuário ( range pequeno, curto pode > servir bem para a diretoria se ela não for muito grande ). > IP da vlan2 do switch-core: 200.002.020.33/27 > Gateway dos equipamentos: 200.002.020.33/27 > Capacidade para 30 usuarios. > > 200.002.020.64/26 - Segundo range de usuário ( departamento médio até 62 > usuarios ) > Ip da vlan3 do switch-core: 200.002.020.65/26. > Gateway dos equipamentos 200.002.020.65/26 > Capacidade para 62 usuarios. > > 200.002.020.128/25 - Ultimo range de usuário ( Departamento grande até 126 > usuarios ). > Ip da vlan4 do switch-core: 200.002.020.129/25 > Gateway dos equipamentos: 200.002.020.129/25 > Capacidade para 126 usuarios. > > > Total de Ips perdidos: 10. > > A vlan de servidores e caso crie a de impressoras basta liberar o que se usa > e bloquear todo o restante, foca as regras de firewall apenas nas vlans de > usuários. > Se decidir por endereçamento privado internamente e IP publico somente no > servidores, você poderá ter o PFSense como gargalo, onde umas quatro ou 6 > interfaces Gigabit com Lagg entre as duas rede poderá dar uma performace > maior. > > > Abraços e espero que sane as suas duvidas. > > > > > > -- > Paulo Henrique. > BSDs Brasil - FUG-BR > site: www.fug.com.br > > Rip Irado !!! > flamers > /dev/null > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt -- Att, Marcus Vinicius. _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt Opa Marcus, se poder descriminar um pouco mais o ambiente para nós ficaria mais facil te orientar, se o problema é preocupação com a segurança, estará divulgando o rotemanto/conectividade da rede, pode passar em pvt. As informações úteis são: 1- capacidade de enlace de cada fibra e como elas se comunicam com o roteador. 2- equipamentos, se o mesmo possui capacidade de roteamento, suporte a vlan e acls baseado em protocolos, capacidade de comutação e tamanho da tabela de roteamento tambem são importantes. 3- quantidades de usuários em cada departamento, e serviços utilizados pela rede. 4 -projeção de crescimento dos departamentos, ipv4 é finito, as vezes dedicar ipv4 a estações de usuário hoje pode gerar transtorno amanhã com exaustão do range. 5- Recursos em cada chat de interconexão distribuidos pela institução. 6-E creio que o mais importante, recursos decontigência internamente e externamente na infraestrutura, afinal um /24 publico só é disponibilizado para serviços serios. Qualquer coisa manda em pvt para evitar problemas, ressalvo para não disponibilizar o nome da instituição. Att. Paulo Henrique. _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
