Ol� Andr�,
Desculpe a demora, mas estive viajando e s� hoje pude dar uma pausa para
responder o seu e-mail.
Vamos � luta!
> Nas solu��es de software posso citar o Proxy Server da MS, certo ?!
Humm...Me parece que o Proxy Server da Microsoft N�O FAZ NAT, mas n�o tenho
certeza. Se voc� for usar s� IPs p�blicos, ent�o est� Ok. Se for precisar de
mascaramento, precisar� pelo menos do Windows 2000, se for usar uma solu��o
Microsoft. Existem outros excelentes softwares para isso tamb�m, como o
Novell BorderManager.
> Posso fazer isso : roteador usa um IP v�lido, conecto o mesmo num switch e
> ao switch o servidor exchange com IP v�lido e as demais esta��es com IP
n�o
> v�lido ou deveria ser o roteador usa um IP v�lido, conecto o mesmo num
> switch e ao swith o servidor echange com IP n�o v�lido e as demais
esta��es
> com IP n�o v�lido ?
Vamos chamar os IPs de p�blicos e privados, ok ? ;-) Todos s�o v�lidos e
nenhum � falso (eu entendi o que voc� quer dizer, claro, � s� uma quest�o da
gente falar a mesma l�ngua. Eu tamb�m chamo direto de FALSO e VERDADEIRO, o
que � errado).
1) Roteador com IP p�blico (pois ele precisa ser o Default Gateway)
conectado em um Switch.
Servidor Exchange com IP p�blico conectado no mesmo Switch (ou hub)
Outras m�quinas com IP privado conectadas em um switch que s� tem conex�o
com uma das placas de rede (ou interface) da solu��o de mascaramento que
voc� adotar. A outra interface desta solu��o (seja placa de rede) fica
ligado junto aos IPs p�blicos (roteador e exchange). � importante n�o
misturar, ou a seguran�a vai por �gua abaixo. Bloqueia-se no roteador todas
as portas Netbios (pelo menos elas, por favor!).
2) Roteador com IP p�blico conectado via cabo cross diretamente na placa ou
interface da solu��o de mascaramento que voc� adotar. A outra placa de rede
fica ligada em um switch com TODAS as outras m�quinas (inclusive o Exchange)
com IP privado. Cria-se uma regra de direcionamento ou nat reverso
(dependendo da solu��o adotada) para a porta 25 do Exchange server (e
SOMENTE ela!).
> Uma implementa��o simples seria : o roteador (com todas as portas
bloqueadas
> com exce��o das comuns - SMTP, POP, HTTP... - ligado a um switch e
esta��es
> e servidor de e-mail ligados a ele ?!
Sim, mas lembre-se de abrir as portas UDP para DNS ou os e-mails n�o
funcionar�o. Cuidado com bloqueio de ICMPs, muitos "admins" querem bloquear
pings e bloqueiam o ICMP todo o que produz uma senhora cagancha com
mtu-path-discovery entre outras coisas. Alguns sites hospedados na Telemar
estavam com exatamente este problema (vi usu�rios com MTUs diferentes de
1500 que n�o recebiam as p�ginas, inclusive a pr�pria rede de tv a cabo
americana @Home. � uma l�stima).
> Se a implementa��o de cima estiver correta, onde coloco os servidores DNS
> nesta estrutura, j� que os mesmos possuem endere�os v�lidos ?!
Voc� precisar� que eles possuam endere�os p�blicos e precisar� que sejam 2
IPs diferentes. A regra diz que precisam ser 2 m�quinas, j� vi gente rodando
em uma s� com IP alias (argh!). Eles ficar�o no segmento p�blico. � poss�vel
operar com DNSes na DMZ ou no segmento privado, mas a Fapesp precisar�
realizar transfer�ncias AXFR e voc� precisar� habilitar cada IP, etc. E um
trabalho grande, melhor manter no segmento p�blico e proteger os hosts de
todas as formas.
Espero ter ajudado.
Cordialmente,
Antonio Carlos Pina
Diretor de Tecnologia
INFOLINK Internet
http://www.infolink.com.br
|
