Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu: Galera, O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, Para que isso seja possível você precisa segmentar a sua rede ou colocar o firewall como bridge. A minha duvida se irá funcionar normal, tipo DNS. Para isso basta registrar no Registro.br o ip do Firewal para que ele possar redirecionar para o DNS ? Não! Se vc estiver usando a mesma rede tanto no firewall como no DNS não vai ser preciso redirecionamento. Agora se forem redes diferentes aí sim! Outra coisa nele posso implementar o controle de trafego com as priorização ou terei que ter outro firewall na minha rede interna ? Sim. Funciona tanto no modo bridge ou no modo com rede segmentada. Desculpe se essas duvidas são de iniciante, mas é isso que eu sou. Não precisa pedir desculpas! A lista serve para isso mesmo! -- [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Em Tue, 28 Nov 2006 23:43:25 + (GMT) Gustavo Gomes [EMAIL PROTECTED] escreveu: O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, é apenas uma opinião, mas enfim.. pq vc não os coloca com ip-addr não-roteaveis (rfc-1918), fazendo o redirecionamento pelo pf/ipf/ipfw2? Se vc faz meramente um roteamento, a probabilidade é que isso seja feito antes de serem (os pacotes) avaliados pelo fwll, embora seja possível fazê-lo depois, óbvio. Mas apenas me parece mais fácil usar tudo num script só :) Em prosseguindo: se houver um server apache vc pode usar, no fwll-box mesmo, um apache reverse-proxy e também um dns jailed servindo como proxy para o seu real (ambos lá na dmz). Com isso, se qualquer dos dois apresentar vulnerabilidades e/ou forem owneds, os REAIS não sofrerão - salvo vc seja do tipo esquecido, que nunca olha o que está acontecendo até que aconteça. Enfim, são opiniões, e vc sabe como é, opinião é como bunda, todo mundo tem a sua, mas só a do outro fede. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 irado furioso com tudo wrote: Em Tue, 28 Nov 2006 23:43:25 + (GMT) Gustavo Gomes [EMAIL PROTECTED] escreveu: O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, é apenas uma opinião, mas enfim.. pq vc não os coloca com ip-addr não-roteaveis (rfc-1918), fazendo o redirecionamento pelo pf/ipf/ipfw2? Se vc faz meramente um roteamento, a probabilidade é que isso seja feito antes de serem (os pacotes) avaliados pelo fwll, embora seja possível fazê-lo depois, óbvio. Mas apenas me parece mais fácil usar tudo num script só :) Em prosseguindo: se houver um server apache vc pode usar, no fwll-box mesmo, um apache reverse-proxy e também um dns jailed servindo como proxy para o seu real (ambos lá na dmz). Com isso, se qualquer dos dois apresentar vulnerabilidades e/ou forem owneds, os REAIS não sofrerão - salvo vc seja do tipo esquecido, que nunca olha o que está acontecendo até que aconteça. Enfim, são opiniões, e vc sabe como é, opinião é como bunda, todo mundo tem a sua, mas só a do outro fede. flames /dev/null Na verdade irá ficar a mesma coisa. Até antes estava escrevendo um e-mail para reponder esse topico e acabei desistindo, mas ai vai. Você pode ter também, se você quer segurança mesmo, uma Honeynet dentro dessa sua rede ou no processo de segmentação dessa rede para criar a DMZ, criar a honeynet também, e colocar 'n' Honeypots dentro da Honeynet. Claro que você deverá criar algumas entradas no seu DNS para falsificar as entradas dos seus servidores reais, mas essa falsa rede irá lhe ajudar na segurança. Enfim, existem muitas coisas que podem ser feitas, mas é como o Irado falou, é apenas uma opinião e é como bunda mesmo!!! Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense - Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (FreeBSD) iD8DBQFFbXXkyJq2hZEymxcRAslUAKCwdJYqhloRxMFzovaM4tccoMw7ZwCeNmMy FkcPKqfF4LisJPaMZkRUlUQ= =FUT/ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Aqui eu uso assim:
Internet
||
Firewall = Servidores (192.168.0.0/24)
||
Redes internas (10.0.0.0/8)
No firewall (PF) existem regras de redirecionamento de um ip real
(200.x.x.1) para um ip falso (192.168.0.1)
Exemplos:
rdr on { em0 em2 } proto tcp from any to 200.x.x.1 port { 80 21 } - 192.168.0.2
nat on { em0 em2 } from 192.168.0.2 to any - 200.x.x.1
rdr on { em0 em2 } proto tcp from any to 200.x.x.2 port { 25 110 } -
192.168.0.3
nat on { em0 em2 } from 192.168.0.3 to any - 200.x.x.2
em0 = interface wan
em1 = interface DMZ
em2 = interface interna
Abracos
Gilberto
Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu:
Galera,
Estou com uma duvidas sobre uma implementação de uma
de rede com utilização de DMZ.
Assim:
No registro.br esta registrado os seguintes endereço
200.X.X.12 - DNS 1
200.X.X.13 - DNS 2
Gostaria de implementar o
Firewall WAN 1 -- 200.X.X.12
Firewall DMZ -- 200.X.X.14
Firewall LAN -- 172.16.0.1
Com redirecionamento de DNS para uma DMZ que esta
incluso os servidores:
200.X.X.15 - DNS (dominio empresa.com.br)
200.X.X.16 - WEB
200.X.X.17 - CORREIOS
Rede Interna
Proxy --- 172.16.0.2
Este metodo esta correto ?
Não gostaria de colocar os servidores de cara com a
internet, como esta atualmente, por preciso de modelo
ideal, usando na DMZ com ip valido passando araves do
firewal.
Alguem tem uma sugestão ?
Obrigado
Gustavo. Gomes
___
O Yahoo! está de cara nova. Venha conferir!
http://br.yahoo.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu: Galera, Estou com uma duvidas sobre uma implementação de uma de rede com utilização de DMZ. Assim: No registro.br esta registrado os seguintes endereço 200.X.X.12 - DNS 1 200.X.X.13 - DNS 2 Gostaria de implementar o Firewall WAN 1 -- 200.X.X.12 Firewall DMZ -- 200.X.X.14 Firewall LAN -- 172.16.0.1 Com redirecionamento de DNS para uma DMZ que esta incluso os servidores: 200.X.X.15 - DNS (dominio empresa.com.br) 200.X.X.16 - WEB 200.X.X.17 - CORREIOS Rede Interna Proxy --- 172.16.0.2 Este metodo esta correto ? Não gostaria de colocar os servidores de cara com a internet, como esta atualmente, por preciso de modelo ideal, usando na DMZ com ip valido passando araves do firewal. Gustavo. Gomes Gustavo, Se você não tiver como segmentar sua rede válida, então pode utilizar uma bridge entre os servidores e o roteador. Agora se for possível criar a sub-net, basta colocar 3 placas de rede no firewall e o resto é configuração. Situação 1: sem segmentação da rede válida (200.X.X.0) |router| | |bridge| | |switch| (servidores) | |Firewall Interno| Situação 2: segmentando a sua rede válida |router| | |Firewall Externo| --- Rede DMZ (servidores) | Rede Interna Acho que é isso! [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Galera, O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, A minha duvida se irá funcionar normal, tipo DNS. Para isso basta registrar no Registro.br o ip do Firewal para que ele possar redirecionar para o DNS ? Outra coisa nele posso implementar o controle de trafego com as priorização ou terei que ter outro firewall na minha rede interna ? Desculpe se essas duvidas são de iniciante, mas é isso que eu sou. Gustavo Gomes --- Mauro Felipe [EMAIL PROTECTED] escreveu: Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu: Galera, Estou com uma duvidas sobre uma implementação de uma de rede com utilização de DMZ. Assim: No registro.br esta registrado os seguintes endereço 200.X.X.12 - DNS 1 200.X.X.13 - DNS 2 Gostaria de implementar o Firewall WAN 1 -- 200.X.X.12 Firewall DMZ -- 200.X.X.14 Firewall LAN -- 172.16.0.1 Com redirecionamento de DNS para uma DMZ que esta incluso os servidores: 200.X.X.15 - DNS (dominio empresa.com.br) 200.X.X.16 - WEB 200.X.X.17 - CORREIOS Rede Interna Proxy --- 172.16.0.2 Este metodo esta correto ? Não gostaria de colocar os servidores de cara com a internet, como esta atualmente, por preciso de modelo ideal, usando na DMZ com ip valido passando araves do firewal. Gustavo. Gomes Gustavo, Se você não tiver como segmentar sua rede válida, então pode utilizar uma bridge entre os servidores e o roteador. Agora se for possível criar a sub-net, basta colocar 3 placas de rede no firewall e o resto é configuração. Situação 1: sem segmentação da rede válida (200.X.X.0) |router| | |bridge| | |switch| (servidores) | |Firewall Interno| Situação 2: segmentando a sua rede válida |router| | |Firewall Externo| --- Rede DMZ (servidores) | Rede Interna Acho que é isso! [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ___ Você quer respostas para suas perguntas? Ou você sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Duvidas sobre Implementação de uma Re de
Galera, Estou com uma duvidas sobre uma implementação de uma de rede com utilização de DMZ. Assim: No registro.br esta registrado os seguintes endereço 200.X.X.12 - DNS 1 200.X.X.13 - DNS 2 Gostaria de implementar o Firewall WAN 1 -- 200.X.X.12 Firewall DMZ -- 200.X.X.14 Firewall LAN -- 172.16.0.1 Com redirecionamento de DNS para uma DMZ que esta incluso os servidores: 200.X.X.15 - DNS (dominio empresa.com.br) 200.X.X.16 - WEB 200.X.X.17 - CORREIOS Rede Interna Proxy --- 172.16.0.2 Este metodo esta correto ? Não gostaria de colocar os servidores de cara com a internet, como esta atualmente, por preciso de modelo ideal, usando na DMZ com ip valido passando araves do firewal. Alguem tem uma sugestão ? Obrigado Gustavo. Gomes ___ O Yahoo! está de cara nova. Venha conferir! http://br.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
