Страница 1 из 1
Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 6:08:26
sunapex
Стоит шлюз на FreeBSD 6.4, одна внешняя сетевая в оптоволоконную сеть (интернет, IP-адрес выделенный), и три сетевых на внутренние локалки, надо прописать DMZ-зону для трех локальных мест PC на одной из сетевых карт, чтобы можно было из интернета по IP-адресу на них заходить, или как вообще можно это все организовать?
На шлюзе запущен Apache и FTP, все работает.
Для любопытных, это все необходимо для захода на видеосерверы безопасности...
Будьте добры, подскажите пожалуйста!
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 8:10:58
princeps
sunapex писал(а):надо прописать DMZ-зону для трех локальных мест PC на одной из сетевых карт, чтобы можно было из интернета по IP-адресу на них заходить
Сделать проброс портов на нате.
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 8:21:44
sunapex
Большое спасибо за совет!
"Я не волшебник, а только учусь"- из фильма Золушка...
А как конкретно это сделать, можете пример отобразить...
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 8:37:36
princeps
чем у тебя нат делается?
У меня есть подозрение, что ты, дружище, не совсем понимаешь, что такое DMZ. Напиши, что ты хочешь получить в итоге и конфигурацию шлюза в общих чертах, из первого поста не очень понятно.
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 8:47:07
sunapex
У нас стоит FreeBSD 6.4 вот rc.conf
Код: Выделить всё
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
inetd_enable="YES"
keymap="ru.koi8-r"
keyrate="normal"
mousechar_start="3"
moused_enable="YES"
scrnmap="koi8-r2cp866"
monit_enable="YES"
sshd_enable="YES"
usbd_enable="YES"
defaultrouter="82.116.34.65"
static_router="internalnet3"
route_internalnet3="- net 192.168.2.0/24 192.168.3.1"
static_router="internalnet4"
route_internalnet4="- net 192.168.2.0/24 192.168.10.10"
hostname="kdp.renet.ru"
firewall_enable="YES"
#firewall_type="SIMPLE"
#firewall_type="OPEN"
firewall_type="CLIENT"
# firewall_type="CLOSED"
sendmail_enanble="NO"
ifconfig_fxp0="inet 192.168.2.1 netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.3.1 netmask 255.255.255.0"
ifconfig_rl0="inet 82.116.34.68 netmask 255.255.255.248"
ifconfig_xl0="inet 192.168.10.10 netmask 255.255.255.0"
natd_enable="YES"
natd_interface="rl0"
natd_flags=""
# mysql_enable="YES"
apache22_enable="YES"
# apache_enable="NO"
# apache_flags=""
ipv6_gateway_enable="YES"
nat никто не настраивал...
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 8:57:36
sunapex
Дома я в ADSL-модеме D-LINK прописал DMZ-зону на конкретный компьютер в локальной сети, при обращении к ip-адресу снаружи, из и-нета попадаешь на этот именно компьютер и с ним работаешь, я поэтому по аналогии с этим и спросил о DMZ-зоне. Я понимаю что существуют различные методы решения такого вопроса.
У нас во внутренней локали установили три компьютера с видеосерверами безопасности, вот на них и надо заходить из и-нета(снаружи) и работать по http протоколу.
Изнутри с локали никаких проблем нет, набрал ip-адрес и попал куда надо, а снаружи надо решить как сделать...
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 9:02:21
princeps
как это никто не настраивал, а это что?
sunapex писал(а):Код: Выделить всё
natd_enable="YES"
natd_interface="rl0"
natd_flags=""
и внешним айпишником не свети лишний раз.
DMZ - это несколько другое, тебе нужно просто пробросить порт снаружи. Вот первые пару ссылок от поиска по форуму:
http://forum.lissyara.su/viewtopic.php? ... B2#p101281
http://forum.lissyara.su/viewtopic.php? ... B2#p101437
Подставь свои порты. И читать man natd.
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 9:18:42
sunapex
Внешние ip не секретные, поэтому apache и запускали, зайти далее все одно логин и пароль надо ввести...
У нас даже адрес рабочий есть
http://kdp.renet.ru, но web-страничку пока некогда писать...
Насчет нат я имел ввиду что других настроек не делали, эти стандартные я сам и делал...
Спасибо, изучим и далее посмотрим...
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 10:44:45
sunapex
Почитал и решил использовать rinetd, установил ее как положено,
запустил в rc.conf - rinetd_enabled="YES"
и создал файл rinetd.conf
в нем указал внешний адрес, порт входа, внутренний адрес, порт 80 (http)
пока не получилось зайти.
Что не так?
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 11:13:42
sunapex
rinetd - c rinetd.conf запускаешь все работает отлично,
после перезагрузки опять ей заново надо указать конфигурационный файл, чего-то где-то не получилось...
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-03 16:02:33
princeps
тут я тебе не помощник, т.к. rinetd не юзал. Подозреваю, что надо флаги запуска rinetd указать в rc.conf.
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-04 11:56:37
sunapex
Спасибо за совет прописал в rc.conf
И все работает, только так и не понял, почему именно указать надо конфигурационный файл, а где он по умолчанию должен находиться?
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-04 15:11:21
princeps
не знаю, man rinetd знает, наверное
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-04 15:48:35
Cardinal
sunapex писал(а):Спасибо за совет прописал в rc.conf
И все работает, только так и не понял, почему именно указать надо конфигурационный файл, а где он по умолчанию должен находиться?
По умолчанию он должен находиться в /usr/local/etc/rinetd.conf. Тогда тебе никаких флагов можно и не писать.
Можешь еще в файл rinetd.conf добавить в начало строку
чтобы видеть кто ходил по этим портам и сколько было проброшено.
Re: Как прописать DMZ для внутренних машин?
Добавлено: 2009-07-05 8:33:04
sunapex
Всем спасибо за помощь!
А насчет man, конечно иногда заглядываем, по необходимости, можно конечно и вообще с людьми не общаться, читая различные инструкции и наставления, но так жить не интересно...