DMZ

mar · Отправлено: **00:18, 24-07-2004** | #2

почему-то на всякий случай захотелось определения DMZ

Поскольку спасение утопающих, как известно, дело рук самих утопающих, захотелось - получаю (в своем не очень вольном переводе):

Цитата:

DMZ - сокращение, принятое для демилиторизированной зоны (demilitarized zone), - компьютер, или небольшая подсетка, находящаяся между доверяемой внутренней сетью, такой, как корпоративная закрытая (private) LAN, и недоверяемой наружной сетью, такой, как Internet.
Обычно DMZ содержит устройства, доступные для трафика Internet, такие, как Web (HTTP ) серверы, FTP серверы, SMTP (e-mail) серверы и DNS серверы. Термин пришел из военного дела и означает буферную зону между двумя армиями

То есть по сути DMZ не относится ни к наружной, ни ко внутренней сети, представляя собой буфер между ними. А у Вас на схеме изображен некий апендикс

И еще - что за серверы обозначены в локалке? и что реально будет на серверах DMZ? Может быть достаточно будет передачи запросов (скажем HTTP) с наружной карточки firewall-а на соответствующие службы этих самых DMZ-серверов? Боюсь, без всех этих уточнений советов придется ждать долго

Belansky · Отправлено: **11:00, 25-07-2004** | #3

Metaller
Классическая схема создания DMZ, приводимая в литературе выглядит так:

Интернет
|
Внешний роутер + файервол
|
DMZ
|
Внутренний роутер + файервол
|
Локальная сеть

Профиль · Отправлено: **11:20, 26-07-2004** | #4

mar

Цитата:

То есть по сути DMZ не относится ни к наружной, ни ко внутренней сети, представляя собой буфер между ними. А у Вас на схеме изображен некий апендикс И еще - что за серверы обозначены в локалке? и что реально будет на серверах DMZ? Может быть достаточно будет передачи запросов (скажем HTTP) с наружной карточки firewall-а на соответствующие службы этих самых DMZ-серверов? Боюсь, без всех этих уточнений советов придется ждать долго

В данном случае именно этот аппендикс и требуется. Насчет того где какие машины - сетка сия внутри веб-девелоперской конторы и надо им поиметь один виндовый и один юниксовый сервер в локалке для разработки, а также винды и юникс, видные из интернета, для показа готовых проектов. Если бы кроме этого ничего не требовалось, то статический нат думаю, спас бы отца русской демократии. Но в дмз должна стоять еще и машина шефа, у которого без реального ip, НЕ ходящего через нат, не хочет работать по-нормальному emule.

mar · Отправлено: **14:18, 26-07-2004** | #5

то есть проблема по сути не в DMZ, а в emule?

тогда уже совсем не понятно

Насколько я понимаю, из статей этот зверь использует по умолчанию 4662 порт. Ну так откройте его на firewall-е (по TCP b UDP) и все. Если нужен доступ извне ко внутренним (ie аппендиксным

) машинам, то используйте портфорвардинг (в том числе и на этот самый 4662-ой порт).

bomzh · Отправлено: **13:01, 13-08-2004** | #6

реальных ip как вижу маловато а значит еще больше разбивать сетку на подсети нецесообразно. я бы использывал nat не маскарад а нормалный нат и портфовардинг. люди в подсетках даже и незнали что пользуются фейковыми адресами. внутри локалки и апендикса обычными фейковыми адресами. а наружу и снаружи во внутрь реальными адресами причем каждому свой реальный адрес. а кому это не надо те просто через маскарад в инет ходили правда их уже не видно будет.

Guest · Отправлено: **14:47, 13-08-2004** | #7

Belansky
В классической схеме все примерно так и выглядит, но на самом деле два роутера абсолютно не обязательны, все можно реализовать и на одном, главное чтобы выполнялись опредделенные правила фильтрации пакетов.