Sziasztok!
Lenne nalunk mostansag egy nagyobb internet kapcsolat bovites, amivel egyutt kapnank egy 15-os ip tartomanyt is.
A kerdesem az lenne, hogy van-e vmi kesz megoldas arra, hogy dmz-ben levo gepeknek ne kelljen NAT-mogott csucsulni? Ertem ez alatt, hogy kinevezek egy ip-t ami mogott lesz LAN(nat), tobbi ip pedig dmz-ben szerverek hasznalnak.
Nezegettem m0n0wall-t,smoothwall-t, de mindegyik NAT orientalt.
Rakjak ossze en vmit, vagy van erre vmi kesz megoldas?
Cisco routert,v VLAN kepes swich az ara miatt nem preferalt :)
- 2111 megtekintés
Hozzászólások
smoothwall-ban szerintem van dmz, ha van 3 itnerface a gepben. hasznalni mondjuk sose hasznaltam.
ja meg van ipcop is!
- A hozzászóláshoz be kell jelentkezni
Smoothwall-ban valóban van DMZ, 3 interfészt kezel. Red - internet, Green - helyi háló, Yellow - DMZ.
--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!
- A hozzászóláshoz be kell jelentkezni
Nézzük az elejéröl.
Milyen kapcsolatod van? Micro, ADSL, LL?
Milyen végberendezésed van? Emlékeim szerint a Smoothwall(IPcop) ADSL-en nem tud több IP-t a WAN interfészen.
Aztán:
Kaptál egy IP tartományt. Nem 15 hanem 16-osat, bár csak 14 címet tudsz belöle használni.
Abból 1db biztosan kell a külsö (Red/Internet/WAN, ahogy tetszik) portra, ezért a tartományból fel kell használnod, legalább 1 címet a tűzfalhoz, és ha azon kívül van egy másik berendezés, akkor ahhoz is egyet.
2 lehetöséged van - és ezt a választott megoldás dönti el.
Elhasítod a tartományt 2*8 címre, és a DMZ-ben a 2. 8-asat használod, vagy NAT-olsz, de 1:1 módban
(Elsö esetben lesz 2*6 felhasználható címed, amiböl az átjárók miatt még "veszítesz", tehát az elsö 8-ból lesz 4 szabad címed, a második 8-ból 5 szabad címed.
Második, NAT-os módban nem "pocsékolsz" el annyi címet a "subnetekre".)
Pl:
WAN: 195.196.197.1-14
DMZ: 192.168.197.1...
LAN: 192.168.1.1-254
WAN port 195.196.197.1, a többi alias (.14 router?)
A 195.196.197.2,3,4,5 címeket NAT-olod a 192.168.197.2,3,4,5 címekre/felé
IPcop (smoothwall) esetén figyelj, hogy a DMZ nem használja a tűzfalon megadott DNS beállításokat! A DMZ-ben lévő hoston a a szolgáltató DNSét kell megadni.
- A hozzászóláshoz be kell jelentkezni
Hi!
Most irodahaz altal adott net van (IW).
De lenne most egy 50Mbit berelt vonal.
1 IP-t szeretnek a tuzfalnak WAN portra, itt lennenek NAT mogott a hosztok(userek).
DMZ -re pedig szervereket szeretnek rakni (most 2db). Nekik kellene a megmaradt IPkbol kiosztani.
De ha jol ertettem akkor, mezei FW distrokkal ezt igy nem olyan egyszeru kivitelezni :)
- A hozzászóláshoz be kell jelentkezni
Ahogy most all a dolog rez erparon fogjuk kapni a szolgaltatast, a legegyszerubb az lesz, hogy beteszek az egesz koceraj ele egy switchet. A tobbi marad a mostani.
- A hozzászóláshoz be kell jelentkezni
IPcop/Smoothwall-al megy lazán, NAT-tal.
A 14-böl 2 IP elmegy a WAN kapcsolatra (mert a réznek is van egy másik fele)
A maradék 12-t meg oda forgatod, ahová akarod.
A switch-hez képest tudod szürni a DMZ forgalmát.
- A hozzászóláshoz be kell jelentkezni
Na szerintem, vegyetek a német ebayről egy Extreme Summit48-as (15k-s sorozat) switchet. Ez kb. 200-250EUR-ba kerül mire ideér és így egy viccesen olcsó L3 switchet kapsz. Simán kell vele egy untagged VLAN-t csinálni a publikus cuccoknak és abba dugni a publikus dolgokat. A publikus szervereknek kell egy belső iface is, amik pedig a másik, LAN-os VLAN-ra kapcsolódnak. A belső VLAN-ról jövő cuccokat meg beteheted DMZ-be és tudsz szűrni. A külső forgalmat meg a gépeken vagy gépen tudod filterezni. A switch 17Gbps-os backplane-jét valszin 50Mbit-el nem fogják kihajtani és a VVLAN-oknál megadható, hogy pl. csak IP típusú forgalmat engedjen át, illetve QoS is van.
Nálunk egy hasonló megoldás megy, ahol egy FreeBSD és pf a csomagszűrő, illetve a publikus gépek is általában FreeBSD-sek.
- A hozzászóláshoz be kell jelentkezni
andrej, errol mi a velemenyed? ~40e forintbol itt lenne .hu-ban.
- A hozzászóláshoz be kell jelentkezni
Ezt a gyártót, illetve az eszközeit nem ismerem. Ahogy a weboldalukat elnézem eléggé keményen nyomják ők is. :)
Az ebayes oldalon levő lista szerint tudásban hasonlók mint az extreme summit48 és ha elég a 24+2 port akkor teljesen jó lehet. Mi azért extreme-ezünk, mert bevált és gondolom innentől nem kell magyarázni. :)
Szerk: Ja igen, arra kérdezzetek rá az amcsiknál, hogy a konkrét eladásra kínált darab tápja viszi-e a 230V-ot simán, mert a tápkábel még a legkevesebb ugye... bár szerintem erre gondoltatok.
- A hozzászóláshoz be kell jelentkezni
Koszi a segitseget, barmily' meglepo, de basszus pont hogy nem gondoltunk a 110 vs 230 problemajara. :-( Szokott ezeken az egysegeken atkapcsolhato bemeneti feszultsegallitas? Mindegy, egy ask seller-t meger. Thx.
- A hozzászóláshoz be kell jelentkezni
:) Akkor a német Ebay-t is csekkoljátok. Normális eladónál kb. 2-3-4 nap mire ittvan a cucc és EU-n belüli, szal semmi vicceskedés nem terheli.
- A hozzászóláshoz be kell jelentkezni
Szerintem - ha csak simán forgalmat akarsz szűrni a dmz-n - egy filtering bridge is tökéletes, ez transzparensen szűri a forgalmat. Egyébként egy HP2524 jó választás lenne, és azért annak nem olyan vészes az ára.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
Zorp GPL -es gép 3 hálókártyával?
http://www.balabit.hu/downloads/zorp/zorp/
covek@covek.hu
- A hozzászóláshoz be kell jelentkezni
Ha elég a csomaszintű szűrés, akkor csinálj egy filtering bridge-et. Így nem kell NAT-olnod, és változtatni sem a címkiosztáson, sem a topológián.
- A hozzászóláshoz be kell jelentkezni