Som rad, ze problematika zaujala. Vidim, ze je tu viacero ludi, ktori sa na to pozeraju z vlastneho pohladu a vlastnej odbornosti.

Ano da sa to riesit IPS dedicated zelezom, ale cielov je viac, nielen lacne riesenie, ale aj lacna prevadzka celku a mat vsetko pod vlastnou kontrolou.

Jednoduchy priklad na exaktnu predstavu.
Existuje firma, ktora ma verejne C, vlastne AS,vlastny reverzny DNS a viac krat optiku od roznych providrovza drahe peniaze, kde verejne bezi vselico mozne.

Okrem toho ma viacero pracovisk kde je tiez sirokopasmovy pristup, ale len jednu verejnu IP a aj to nie vsade fixnu, navyse bez moznostinastavenia reverzneho DNS. Pritom rozdiel mat a nemat moznost nastavit reverzu domenu podla seba je 400% mesacnej ceny.

Kazde z tychto pracovisk chce mat u seba okrem obvykleho PAT pristupu pre bezne pocitace, aj niekolko verejnych serverov bez NAT z dovodu specifickeho vyvoja a experimentalnej prevadzky.

Samozrejme existuje riešenie vsade zaplatit niekolko pevnych ip a za reverzny zaznam. Ale existuje aj resenie vyexportovat jednotlive ip adresy z onej zakladnej LAN siete svojpomocne v transparentnych L2 tuneloch. Navyse tym sa vyriesi aj lokalizacny problem.

Cize jedno dvoj ethernet portove zariadenie do centraly, ktore sa bude javit z pohladu LAN ako tranasparentny FW, ktory filtrovat bude iba v rozsahu aby vedel, ktoru MAC s verifikovanou IP, kam mapreposielat (zamerne nepisem rutovat) cez tunely ako VPN koncentrator z druhej ethernet karty.

V kazdom pracovisku bude dalsie dvojethernetove zariadenie, ktore sa bude cez PAT javit ako beze zariadenie vytvarajuce tunel na VPN koncentrator, ale na druhej strane sa bude spravat ako transparentny FW z LAN onej centraly, filtrovanie zasa bude len na urovni opravnenej MAC s verifikovanou IP .

Celu takuto infrastrukturu viem nakonfigurovat s Cisco ASA, ale nechem. Jedna vec je cena, druha je, ze to nebezi podla mojich predstav. Preto zvazujem pouzit FreeBSD s technologou transparentneho FW a zbytok doprogramovat.

 Jozef

--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem