forum.lissyara.su

Привет, форучане! Недавно начал изучать Фрю поэтому есть один вопрос! Есть машинка с тремя картами ,пусть будут xl0 ,rl0 и fxp0 .В целях обучения хочу сделать следующее : дать доступ из локалки в интернет через nat (rl0) и организовать Dmz зону на другом интерфейсе (fxp0) ,соответственно xl0 - карточка к прову. Делать хотел все для начала с помощью ipfw и демона natd. Так вот всал вопрос как грамотнее в данном случае сделать ? Прописать два разный diverta для ната или сделать мост ?Спасибо

В DMZ и локалке - приватные адреса.

НАТ нужен только на том интерфейсе, который смортит к провайдеру(если, конечно, у вас там реальный IP).
Если к прову - серый адрес, то хватит статической марщрутизации.

Так это все понятно.Например я хочу разместить web сервер в dmz (в дмз -частный адрес) т.е мне надо как то прокидывать 80 порт с внешнего адреса внутрь.Так вот вопрос :как пробрасывать то лучше через првила natd типа redirect_port или через правила ipfw ?

Тут ситуация такая(в случае использования ipfw fwd), если прийдет пакет от клиента на 80 порт белого адреса, то он будет перенаправлен на 80 порт серого адреса. Когда пойдет ответ от сервера с портом источником 80, то проходя через ваш внешный интерфейс(тот который в мир), 80й порт будет подменен(NAT), и таким образом клиент посылал запрос на 80 порт, а получил ответ с некого другого. Вероятно в таком случае будут проблемы.

А вот если использовать natd redirect_port, то у вас будет нормальный туннель, и порт-источник подменяться не будет.

Спасибо ,Небо! Опыта работы с бсд мало поэтому спрошу еще один вопрос! Какова политика безопасностипри размещении серверов в дмз зоне? Например если я установлю корпоративный веб сервер в дмз ,то как лучше ,с точки зрения безопастности ,настроить файервол для запросов из локальной сети? Запретить вообще все в локальную сеть , т.е сделать доступ к веб серверу через интернет?

Zorge писал(а):Спасибо ,Небо! Опыта работы с бсд мало поэтому спрошу еще один вопрос! Какова политика безопасностипри размещении серверов в дмз зоне? Например если я установлю корпоративный веб сервер в дмз ,то как лучше ,с точки зрения безопастности ,настроить файервол для запросов из локальной сети? Запретить вообще все в локальную сеть , т.е сделать доступ к веб серверу через интернет?

Политика безопасности и политика доступа к серверам в ДМЗ, и не только, а какже к другим ресурсам вашей сети такова, какую определяете именно ВЫ. Фаервол настраивается после того, тогда у вас будут четко сформулированы политики и, я по крайней мере так делаю, построена матрица доступа.

Если вы вообще создали ДМЗ и разместили там сервер, значит у вас возникла необходимость предостовлять некие сервисы пользователям (локальным и удаленным). Если вы запустите своих локальных пользователей на сервер в ДМЗ через интернет, то соответственно сервер увидит этих пользователей как пришедших из вне. Возможно, у вас доступ к серверу и сервисам, которые он предоставляет, отличается для локальных и глобальных пользователей, тогда нужно продумывать механизм идентификации.

Я бы все-таки на вашем месте не пускал локальных пользователей в "обход". Это не рационально с точки зрения загрузки внешнего канала, да и потом вдруг что, из общей кучи запросов и клиентов разделить "своих - чужиш" будет сложнее.

По ДМЗ. Основная идея заключается в том, что даже если ваши сервера в ДМЗ будут взломаны и злоумышленики получат над ними контроль, это никак не должно отразиться на работе вашей локальной сети, тоесть атаковать локальную сеть из ДМЗ не должно быть возможным(по крайней мере в идеале ).