forum.opennet.ru

Составление сообщения

Исходное сообщение

"Подскажите с планированием DMZ..."
Отправлено krim, 11-Апр-07 14:44

>>мне кажется что все просто... сложнее будет с настройкой узлов.
>Да я думаю что вы правы. Сложность вы имеете ввиду в настройки
>политик FW?
>
>Как я вижу решений три:
>
>1) Использовать на пограничном шлюзе NAT 1:1
>2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
>3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html)
>
>Благодарю за ответ.
сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :)
1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов.
2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья.
3. можно и так.

Исходное сообщение
"Подскажите с планированием DMZ..." Отправлено krim, 11-Апр-07 14:44
>>мне кажется что все просто... сложнее будет с настройкой узлов. >Да я думаю что вы правы. Сложность вы имеете ввиду в настройки >политик FW? > >Как я вижу решений три: > >1) Использовать на пограничном шлюзе NAT 1:1 >2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг >3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html) > >Благодарю за ответ. сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :) 1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов. 2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья. 3. можно и так.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру