Как прописать DMZ для внутренних машин?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-03 6:08:26

Стоит шлюз на FreeBSD 6.4, одна внешняя сетевая в оптоволоконную сеть (интернет, IP-адрес выделенный), и три сетевых на внутренние локалки, надо прописать DMZ-зону для трех локальных мест PC на одной из сетевых карт, чтобы можно было из интернета по IP-адресу на них заходить, или как вообще можно это все организовать?
На шлюзе запущен Apache и FTP, все работает.
Для любопытных, это все необходимо для захода на видеосерверы безопасности...
Будьте добры, подскажите пожалуйста!
Старый пилот Elite...
Обожаю свободу среди звезд!!!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение princeps » 2009-07-03 8:10:58

sunapex писал(а):надо прописать DMZ-зону для трех локальных мест PC на одной из сетевых карт, чтобы можно было из интернета по IP-адресу на них заходить
Сделать проброс портов на нате.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-03 8:21:44

Большое спасибо за совет!
"Я не волшебник, а только учусь"- из фильма Золушка...
А как конкретно это сделать, можете пример отобразить...
Старый пилот Elite...
Обожаю свободу среди звезд!!!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение princeps » 2009-07-03 8:37:36

чем у тебя нат делается?
У меня есть подозрение, что ты, дружище, не совсем понимаешь, что такое DMZ. Напиши, что ты хочешь получить в итоге и конфигурацию шлюза в общих чертах, из первого поста не очень понятно.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-03 8:47:07

У нас стоит FreeBSD 6.4 вот rc.conf

Код: Выделить всё

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
inetd_enable="YES"
keymap="ru.koi8-r"
keyrate="normal"
mousechar_start="3"
moused_enable="YES"
scrnmap="koi8-r2cp866"
monit_enable="YES"
sshd_enable="YES"
usbd_enable="YES"
defaultrouter="82.116.34.65"
static_router="internalnet3"
route_internalnet3="- net  192.168.2.0/24 192.168.3.1"
static_router="internalnet4"
route_internalnet4="- net  192.168.2.0/24 192.168.10.10"
hostname="kdp.renet.ru"
firewall_enable="YES"
#firewall_type="SIMPLE"
#firewall_type="OPEN"
firewall_type="CLIENT"
# firewall_type="CLOSED"
sendmail_enanble="NO"
ifconfig_fxp0="inet 192.168.2.1 netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.3.1 netmask 255.255.255.0"
ifconfig_rl0="inet 82.116.34.68 netmask 255.255.255.248"
ifconfig_xl0="inet 192.168.10.10 netmask 255.255.255.0"
natd_enable="YES"
natd_interface="rl0"
natd_flags=""
# mysql_enable="YES" 
apache22_enable="YES"
# apache_enable="NO"
# apache_flags=""
ipv6_gateway_enable="YES"
nat никто не настраивал...
Старый пилот Elite...
Обожаю свободу среди звезд!!!

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-03 8:57:36

Дома я в ADSL-модеме D-LINK прописал DMZ-зону на конкретный компьютер в локальной сети, при обращении к ip-адресу снаружи, из и-нета попадаешь на этот именно компьютер и с ним работаешь, я поэтому по аналогии с этим и спросил о DMZ-зоне. Я понимаю что существуют различные методы решения такого вопроса.
У нас во внутренней локали установили три компьютера с видеосерверами безопасности, вот на них и надо заходить из и-нета(снаружи) и работать по http протоколу.
Изнутри с локали никаких проблем нет, набрал ip-адрес и попал куда надо, а снаружи надо решить как сделать...
Старый пилот Elite...
Обожаю свободу среди звезд!!!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение princeps » 2009-07-03 9:02:21

как это никто не настраивал, а это что?
sunapex писал(а):

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags=""
и внешним айпишником не свети лишний раз.
DMZ - это несколько другое, тебе нужно просто пробросить порт снаружи. Вот первые пару ссылок от поиска по форуму:
http://forum.lissyara.su/viewtopic.php? ... B2#p101281
http://forum.lissyara.su/viewtopic.php? ... B2#p101437
Подставь свои порты. И читать man natd.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-03 9:18:42

Внешние ip не секретные, поэтому apache и запускали, зайти далее все одно логин и пароль надо ввести...
У нас даже адрес рабочий есть http://kdp.renet.ru, но web-страничку пока некогда писать...
Насчет нат я имел ввиду что других настроек не делали, эти стандартные я сам и делал...
Спасибо, изучим и далее посмотрим...
Старый пилот Elite...
Обожаю свободу среди звезд!!!

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-03 10:44:45

Почитал и решил использовать rinetd, установил ее как положено,
запустил в rc.conf - rinetd_enabled="YES"
и создал файл rinetd.conf
в нем указал внешний адрес, порт входа, внутренний адрес, порт 80 (http)
пока не получилось зайти.
Что не так?
Старый пилот Elite...
Обожаю свободу среди звезд!!!

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-03 11:13:42

rinetd - c rinetd.conf запускаешь все работает отлично,
после перезагрузки опять ей заново надо указать конфигурационный файл, чего-то где-то не получилось...
Старый пилот Elite...
Обожаю свободу среди звезд!!!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение princeps » 2009-07-03 16:02:33

тут я тебе не помощник, т.к. rinetd не юзал. Подозреваю, что надо флаги запуска rinetd указать в rc.conf.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-04 11:56:37

Спасибо за совет прописал в rc.conf

Код: Выделить всё

rinetd_flags="-c /etc/rinetd.conf"
И все работает, только так и не понял, почему именно указать надо конфигурационный файл, а где он по умолчанию должен находиться?
Старый пилот Elite...
Обожаю свободу среди звезд!!!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение princeps » 2009-07-04 15:11:21

не знаю, man rinetd знает, наверное :)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Cardinal
мл. сержант
Сообщения: 76
Зарегистрирован: 2008-07-04 18:43:11
Откуда: Украина, Харьков
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение Cardinal » 2009-07-04 15:48:35

sunapex писал(а):Спасибо за совет прописал в rc.conf

Код: Выделить всё

rinetd_flags="-c /etc/rinetd.conf"
И все работает, только так и не понял, почему именно указать надо конфигурационный файл, а где он по умолчанию должен находиться?
По умолчанию он должен находиться в /usr/local/etc/rinetd.conf. Тогда тебе никаких флагов можно и не писать.
Можешь еще в файл rinetd.conf добавить в начало строку

Код: Выделить всё

logfile /var/log/rinetd.log
чтобы видеть кто ходил по этим портам и сколько было проброшено.
Человеческая глупость дает представление о бесконечности.

Аватара пользователя
sunapex
рядовой
Сообщения: 48
Зарегистрирован: 2009-06-09 17:01:13
Откуда: Saratov
Контактная информация:

Re: Как прописать DMZ для внутренних машин?

Непрочитанное сообщение sunapex » 2009-07-05 8:33:04

Всем спасибо за помощь!
А насчет man, конечно иногда заглядываем, по необходимости, можно конечно и вообще с людьми не общаться, читая различные инструкции и наставления, но так жить не интересно...
Старый пилот Elite...
Обожаю свободу среди звезд!!!