Lista de Discussão Rede Wan - http://www.networkdesigners.com.br
Olá André,
Desculpe a demora, mas estive viajando e só hoje pude dar uma pausa para
responder o seu e-mail.
Vamos à luta!
> Nas soluções de software posso citar o Proxy Server da MS, certo ?!
Humm...Me parece que o Proxy Server da Microsoft NÃO FAZ NAT, mas não tenho
certeza. Se você for usar só IPs públicos, então está Ok. Se for precisar de
mascaramento, precisará pelo menos do Windows 2000, se for usar uma solução
Microsoft. Existem outros excelentes softwares para isso também, como o
Novell BorderManager.
> Posso fazer isso : roteador usa um IP válido, conecto o mesmo num switch e
> ao switch o servidor exchange com IP válido e as demais estações com IP
não
> válido ou deveria ser o roteador usa um IP válido, conecto o mesmo num
> switch e ao swith o servidor echange com IP não válido e as demais
estações
> com IP não válido ?
Vamos chamar os IPs de públicos e privados, ok ? ;-) Todos são válidos e
nenhum é falso (eu entendi o que você quer dizer, claro, é só uma questão da
gente falar a mesma língua. Eu também chamo direto de FALSO e VERDADEIRO, o
que é errado).
1) Roteador com IP público (pois ele precisa ser o Default Gateway)
conectado em um Switch.
Servidor Exchange com IP público conectado no mesmo Switch (ou hub)
Outras máquinas com IP privado conectadas em um switch que só tem conexão
com uma das placas de rede (ou interface) da solução de mascaramento que
você adotar. A outra interface desta solução (seja placa de rede) fica
ligado junto aos IPs públicos (roteador e exchange). é importante não
misturar, ou a segurança vai por água abaixo. Bloqueia-se no roteador todas
as portas Netbios (pelo menos elas, por favor!).
2) Roteador com IP público conectado via cabo cross diretamente na placa ou
interface da solução de mascaramento que você adotar. A outra placa de rede
fica ligada em um switch com TODAS as outras máquinas (inclusive o Exchange)
com IP privado. Cria-se uma regra de direcionamento ou nat reverso
(dependendo da solução adotada) para a porta 25 do Exchange server (e
SOMENTE ela!).
> Uma implementação simples seria : o roteador (com todas as portas
bloqueadas
> com exceção das comuns - SMTP, POP, HTTP... - ligado a um switch e
estações
> e servidor de e-mail ligados a ele ?!
Sim, mas lembre-se de abrir as portas UDP para DNS ou os e-mails não
funcionarão. Cuidado com bloqueio de ICMPs, muitos "admins" querem bloquear
pings e bloqueiam o ICMP todo o que produz uma senhora cagancha com
mtu-path-discovery entre outras coisas. Alguns sites hospedados na Telemar
estavam com exatamente este problema (vi usuários com MTUs diferentes de
1500 que não recebiam as páginas, inclusive a própria rede de tv a cabo
americana @Home. É uma lástima).
> Se a implementação de cima estiver correta, onde coloco os servidores DNS
> nesta estrutura, já que os mesmos possuem endereços válidos ?!
Você precisará que eles possuam endereços públicos e precisará que sejam 2
IPs diferentes. A regra diz que precisam ser 2 máquinas, já vi gente rodando
em uma só com IP alias (argh!). Eles ficarão no segmento público. É possível
operar com DNSes na DMZ ou no segmento privado, mas a Fapesp precisará
realizar transferências AXFR e você precisará habilitar cada IP, etc. E um
trabalho grande, melhor manter no segmento público e proteger os hosts de
todas as formas.
Espero ter ajudado.
Cordialmente,
Antonio Carlos Pina
Diretor de Tecnologia
INFOLINK Internet
http://www.infolink.com.br
______________________________________________________________________
To unsubscribe, write to [EMAIL PROTECTED]
