Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico

DMZ



  1. Com relação ao ssh preciso das duas situações, de um local específico e de qualquer local. O desenho da DMZ é exatamente o que estou precisando.
    Eus o tenho 1 IP fixo o resto e frio, o meu roteador vai reslamete ter q fazer NAT. Quanto ao banco de dados nao axo baom que ele fique na DMZ por eu usar uma maquina mais fraca (k6-2 500) enquanto que a maquina onde o banco ja esta instalado é uma semprom 3.2 GHZ. Como devo proceder .
    tenho um roteador pentium 200 com 3 placas de rede D-Link 530TX e o coyote linux instalado. Como devo proceder para criar a DMZ nesse caso.

  2. Citação Postado originalmente por leo_jfa
    Com relação ao ssh preciso das duas situações, de um local específico e de qualquer local. O desenho da DMZ é exatamente o que estou precisando.
    Eus o tenho 1 IP fixo o resto e frio, o meu roteador vai reslamete ter q fazer NAT. Quanto ao banco de dados nao axo baom que ele fique na DMZ por eu usar uma maquina mais fraca (k6-2 500) enquanto que a maquina onde o banco ja esta instalado é uma semprom 3.2 GHZ. Como devo proceder .
    tenho um roteador pentium 200 com 3 placas de rede D-Link 530TX e o coyote linux instalado. Como devo proceder para criar a DMZ nesse caso.
    Bem...
    1) não recomendo você permitir SSH para rede interna exposto para 0.0.0.0, se for de um ponto fixo tudo bem pois se pode criar regra de PREROUTING permitindo apenas desse ponto.
    2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados.
    3) Roteador Coyote (Linux) para fazer DMZ está fora de cogitação. Ele é muito limitado, e você para sua DMZ precisaria de além de um roteador, teria que ter um firewall completo tendo acesso a todos os recursos do iptables e IDS ativo.



  3. Tudo bem a parte do coyote eu ja tinha imaginado haja visto suas limitações, a parte do banco de dados eu lhe peço desculpas pois entendi mal o que vc tinha expalndao anteriormente, a ideia e como vc realmebte citou em seu ultimo post:
    "2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados". A questao do SSH e exigencia do cliente uma vez q ele ker acessar o servidor de qualquer ponto do planeta.

  4. Citação Postado originalmente por leo_jfa
    Tudo bem a parte do coyote eu ja tinha imaginado haja visto suas limitações, a parte do banco de dados eu lhe peço desculpas pois entendi mal o que vc tinha expalndao anteriormente, a ideia e como vc realmebte citou em seu ultimo post:
    "2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados". A questao do SSH e exigencia do cliente uma vez q ele ker acessar o servidor de qualquer ponto do planeta.
    O SSH será para acessar um servidor dentro da sua rede-local? Você administra esse servidor também? A preocupação disso fica por parte da segurança, principalmente se ela for feita apenas por esse cara que irá acessar remotamente, já que via SSH pode ser fazer uma "FESTA"... Se isso for feito, para diminuir as chances de problemas, deverão ser tomados alguns cuidados como:
    1) Garantir um IDS bem configurado no Firewall
    2) Redirecionar alguma porta alta de serviço desconhecido e não a 22 para o servidor na rede, ex.: redirecionar para quando bater no ip valido na porta 31701 vá para o 22 no servidor da rede local com ip frio.
    3) No servidor dentro da rede local, configurar o sshd de forma que não permita login do root (permitrootlogin no), tenha que ser logado com um usuario especifico que não de sistema, e apenas esse usuario tenha acesso (allowusers <usuario>), e que utilize uma senha forte (possua caracteres maisculos,minusculos,numeros e caracteres especiais, maior que 10 digitos).
    3.1) Se quiser reforçar mais, configure o su de forma que apenas esse usuario possa utiliza-lo...
    3.2) Ainda mais...se você quiser ter controle das vezes desses logins no servidor, insira uma linha no /etc/bashrc, para que seja enviado um email (ou gravado log local em arquivo separado) cada vez que logarem via ssh ou console no servidor.
    4) Ele precisa mesmo acessar do MUNDO todo? ou apenas no Brasil? Se for apenas no Brasil também pode se fazer essas regras de redir, apenas permitindo a origem 200.0.0.0/8 e 201.0.0.0/8....

    Beleza?



  5. Mio q isso so dois disso, muiot obrigrado pela atenção e pela paciencia, agente se esbarra por ia. Valeu.






Tópicos Similares

  1. DMZ
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 18-03-2003, 06:43
  2. Problemas com Rotas DMZ
    Por ATNunes no fórum Servidores de Rede
    Respostas: 3
    Último Post: 03-12-2002, 09:42
  3. DMZ
    Por ATNunes no fórum Servidores de Rede
    Respostas: 8
    Último Post: 22-11-2002, 17:22
  4. DMZ COM IPTABLES...
    Por no fórum Segurança
    Respostas: 14
    Último Post: 20-11-2002, 14:40
  5. DMZ, FirewaLL E proxy
    Por wrochal no fórum Servidores de Rede
    Respostas: 5
    Último Post: 22-10-2002, 20:31

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L