#  > Geral >  > Segurança >  >  Implementando DMZ

## fjacunha

Alow Amigos

Estou com uma certa duvida com relação a implementação de DMZ.
Eu tenho um range de 64 Ips validos.
E tenho um firewall com 4 placas de redes nas seguintes situações
eth0 192.168.0.141 (rede local)
eth1 192.168.21.1 (futura dmz)
eth2 192.168.20.1 (rede frame relay)
eth3 201.XXX.XXX.XXX (IP FIXO embratel)

Bem, tenho uma outro servidor na minha rede local que vai ser meu servidor de Webservices e tem duas placas de redes.
eth0 192.168.0.120 (logada na minha rede local)
eth1 (seria a mesma faixa de IP da minha eth1 do fw que é a futura dmz) no caso 192.168.21.2?
Bem se for isso até aí tudo bem.
O fato é que como falei pra vocês tenhos 64 validos IPs disponiveis e quero utilizar um desses ips pra o Webservice ser acessado pela porta 80.

Eu precisaria ter uma outra placa de rede no meu Servidor de Webservice pra dar a ele um IP valido? Ou eu defino isso no firewall?

Agradeço a atenção de todos

Abraços
Chico

----------


## lucianogf

Cara..

nao deu pra entender muito bem essa colocação de ip's q vc fez.. mas acredito q seria mais fácil vc usar ip's válidos nos servidores...

e melhor ainda seria vc utilizar um gateway interno para isolar a rede interna da DMZ...

Espero ter ajudado..

valew
[]ś

----------


## Kablu

Olá Amigo,

No caso o seu webservice vc precisaria de uma placa só... só a do 192.168.21.2... ele rotearia as chamadas pelo ip externo que iremos atribuir... mas se vc quer acessa-lo localmente também de forma direta pode ter 2 placas, mas acho desnecessário.

Bom, para configurar mais um ip externo que redirecionará a porta 80 para o webservice, vc deverá fazer isso no firewall...

Atribua mais um ip no seu firewall copiando o arquivo

_cp /etc/sysconfig/network-scripts/ifcfg-ethX /etc/sysconfig/network-scripts/ifcfg-ethX:1_

O ethX é o referente a sua placa de rede que recebe um dos 64 ips externos.

Dentro desse arquivo novo *ifcfg-ethX:1* edite e troque o nome do device de *ethX* pra *ethX:1* e coloque o ip novo... que será o ip referenciado ao WEBSERVICE.

Feito isso reinicie sua rede para aplicar as novas configurações de ip.

Bom agora é só fazer uma regra no seu firewall que redirecione tudo que vier do ip novo 201.X.X.X que é o ip novo do device ethx:1 pra porta 80 ele redirecionar pra maquina interna porta 80.

iptables -t nat -A PREROUTING -p tcp -m tcp -s 201.X.X.X --dport 80 -j DNAT --to-destination 192.168.21.2:80

assim ele redireciona tudo que vier desse 201.X.X.X pra porta 80 no ip 192.168.21.2 porta 80


Qualquer duvida tamos ae!!


Abraço :good:

----------


## fjacunha

Olá Amigos

Obrigado pela atenção!!!!

Vamos lá Lucianogf, eu até poderia colocar ips validos no meus servidores, mais eu não posso isola-los da rede interna, já que preciso de um desses servidores acessar um banco de dados.
mais valeu mesmo a resposta.

Kablu
cara era exatamente isso que eu estava pensando, só que eu não sabia que eu poderia ter outros endereços ips na minha placa no caso ETH3 além do IP que eu já havia setado.
então na teoria ficaria da seguinte forma.
minha ETH3 seria essa ETHX que já tem um IP setado no caso 201.XXX.XXX.XXX aí atraves do arquivo ifcfg-eth3 eu iria editar e salvaria com um novo nome icfg-eth3:1 com o outro IP 201.XXX.XXX.1
e depois usaria a sintaxe do NAT?

Vou testar!!!!
Acredito que deva funcionar.
Eu estou usando o FWBUILDER com IPTABLES por baixo. aí vou dar uma sacada nela.

Muito obrigado mesmo aos Dois
Abraços
Chico

----------


## Kablu

Exatamente isso!

To no aguardo pra saber se funcionou!

Abraço :good:

----------


## fjacunha

Fussou!!!

Hehehehehhee

aí analisando bem o tópico e um material que encontrei na net sobre DMZ, eu desabilitei a outra placa de rede que saia pra minha rede local. e só deixei essa máquina na DMZ

Abraços
E valeuz

----------


## felco

Cara você deveria comprar +1 Switch é ligar nele todos os seus servidores, esse Switch ficara a DMZ, nesse Switch vai ficar tambem um Firewall com 2 INT´s uma ficara em crossover com seu outro Firewall é uma ficara no Switch da DMZ assim ficaria bem seguro...
Mas você pode dispensar um Firewall a + é espetar seu Firewall na Switch da DMZ é depois configurar o Router acima do seu Firewall, que deveria estar em crossover com o Firewall, para "conversar" só com o Firewall é atravez de NAT 1:1 você "forja" um IP válido nos servidores da DMZ...

----------

