[kim-aa]

1) Вариант сложный - Коммутатор 3-го уровня, к нему цепляются коммутаторы отдельных сегментов. Фильтрация осуществляется на коммутаторе 3-го уровня.
2) Вариант простой. Центральный коммутатор. К нему цепляется фаервол для выхода в интернет. Кроме того каждый сегмент сети (коммутатор сегмента), соединяется с центральным коммутатором через двухпортовый фаервол. Фильтрация настраивается на фаерволах.

[kim-aa]

Вот Вам схемка. Кстати роль центрального свича + ограничивающих фаерволов может сыграть вышеуказанный Вами D-link

[Butunin Klim]

Спасибо. Будем тестировать у dlink у них есть тестовая неделя на оборудование начнем с этого Бренда.

[Negativ]

Я понимаю что тут уже много тем похожих и косвенно затрагивающих DMZ, но такой по-моему не было.
В первые сам столкнулся с настройкой сети с DMZ.
Итак, начну с цитаты:

Цитата:

Разновидностью описанного подхода к маршрутизации между несколькими сетями является концепция демилитаризованной зоны (DMZ), часто применяемая в производ- ственной среде. Проблема в том, что некоторые системы (например, Web-серверы) за шлюзом должны иметь реальные IP-адреса, но все остальные системы должны использовать NAT. Обычно для этого используется шлюз с тремя сетевыми интерфейсами. Один интерфейс — связь с Internet, второй — для систем, использующих преобразование адресов NAT, а третий — для систем, которые не должны использовать NAT. Интер- фейс, обслуживающий системы с реальными IP-адресами, называют демилитаризо- ванной зоной (Demilitarized Zone — DMZ}.

У меня есть в наличии шлюз. Он имеет при себе 3 этих интерфейса.
WAN и LAN меня не волнуют, с ними все ясно. Волнует DMZ.
Я собираюсь на интерфейс DMZ повесить WEB-Сервер. Соответственно на этом самом веб сервере будет мотаться www,DNS,ftp и прочая приблуда. Провайдер выдал мне несколько внешних ip адресов на которые я и хочу повесить www и все остальное.
1. Интерфейсу WAN я даю один из внешних IP адресов (выданных провайдером).
2. Интерфейсу LAN я даю локальный IP.
3. Какой IP адрес выдавать интерфейсу DMZ если мне нужно чтобы сервисы WEB сервера были доступны снаружи? Какой IP адрес выдавать интерфейсам на WEB сервере?
Вообще хотелось бы по-побольше примеров с указанными ip адресами на интерфейсах. Маршрут пакетов от WAN к WEB серверу и содержание заголовков пакетов на всех точках прохождения от интерфеса WAN до WEB сервера и обратно.

[Greyman]

Для начала, считаю цитату несколько неверной в плане построения ДМЗ, ниже из примера немного попробую показать.

Если делать по цитате, то интернет-интерфейсу шлюза, ДМЗ-интерфейсу шлюза, а также каждому из выставляемых в Интернет ресурсов придется давать WAN-адреса... Соответственно получается их должно быть минимум 3 (для выдачи 1 ресурса).

Однако в большинстве случаев для ДМЗ тоже используется трансляция адресов. Выглядит это так:
ЛАН-интрерфейс - адрес из локальной сети №1, Интернет-интерфейс - WAN-адрес, ДМЗ-интерфейс - адрес локальной сети №2, выдаваемые ресурсы - другие адреса из сети №2. При этом на шлюзе настраивается трансляция адресов из сети №2 в комбинацию порт:адрес Интернет-шлюза. Как видим, в этом варианте достаточно использование лишь 1 WAN адреса для подключения большого количества доступных из Интернет ресурсов.

Так понятно?

[Negativ]

Greyman
1. предположим у меня есть достаточно WAN адресов для реализации DMZ без использования NAT. Появляется несколько вопросов:
Пример:
WAN Interface -> 81.12.13.123
DMZ Interface -> 81.12.13.124
Interface WEB сервера -> 81.12.13.125
Я поднимаю DNS на WEB сервере:
Как будут выглядеть записи?
Так:

Код:

$ORIGIN .
$TTL    86400

domen.ru             IN      SOA      domen.ru root.domen.ru  (
                                        200607111      ; Serial
                                        3600    ; Refresh
                                        900     ; Retry
                                        3600000 ; Expire
                                        3600 )  ; Minimum
                        NS              ns.domen.ru.
                        NS              ns.domen_prov.ru.
                        A               81.12.13.125 
                        MX              10 domen.ru.
                        MX              20 relay.domen_prov.ru.

Или так:

Код:

$ORIGIN .
$TTL    86400

domen.ru             IN      SOA      domen.ru root.domen.ru  (
                                        200607111      ; Serial
                                        3600    ; Refresh
                                        900     ; Retry
                                        3600000 ; Expire
                                        3600 )  ; Minimum
                        NS              ns.domen.ru.
                        NS              ns.domen_prov.ru.
                        A               81.12.13.123
                        A               81.12.13.124
                        A               81.12.13.125
                        MX              10 domen.ru.
                        MX              20 relay.domen_prov.ru.

[Greyman]

Конечно первый вариант. ты же трансляцию не используешь, а значит днс-запросы на другие 2 адреса ответа не дадут, там просто некому отвечать. они просто используются для маршрутизации...

P. S.
Кстати, в теме же ничего про ИБ вроде не рассматривается. Как ты на счет того, чтоб я тему в Сети из ИБ перекинул? Там просто больше сетевиков, я даже сам гораздо реже самостоятельно с конфигами вожусь (на это есть админы, а ИБ - задание для реализации концепции).

[Negativ]

Greyman
перебрасывай

[kim-aa]

Negativ
DMZ - это всего лишь сегмент сети, в который выносится оборудование, к коему предьявляются спецтребования по доступу.
Вот и то, и то DMZ.

http://forum.oszone.net/thread-69237.html
http://forum.oszone.net/thread-68669.html

Просто класическая схема построения DMZ осуществляется на 2х портовых однофункциональных устройствах.

Сейчас, когда устройства мультипортовые и свич/роутер/фаервол/не-пойми-что, для простоты восприятия при проектировании сети, сложные устройства декомпозируют на классические "примитивы".

DMZ - в "классике" внешнее. В прочем в "классике" и NAT&PAT отсутствует.

При существовании Домена как в глобальном, так и локальном адресном пространстве, обычно подымают 2 DNS Сервера.
Проще знаете ли , не так сильно "кипит наш разум возмущенный".

[Butunin Klim]

Тема наверное поднималась но я не нашел её.

Есть сеть 10,0,1,1/24
GATE 10.0.1.2
DNS 10.0.1.1

Нужно постоить еще одну сеть (например 10,0,0,1/24 )что бы она не имела доступ к сети 10,0,1,1/24
но имела интрнет от GATE 10,0,1,2

Не соображу как такое сделать.