+ Responder ao Tópico



  1. #1
    fjacunha
    Visitante

    Padrão Implementando DMZ

    Alow Amigos

    Estou com uma certa duvida com relação a implementação de DMZ.
    Eu tenho um range de 64 Ips validos.
    E tenho um firewall com 4 placas de redes nas seguintes situações
    eth0 192.168.0.141 (rede local)
    eth1 192.168.21.1 (futura dmz)
    eth2 192.168.20.1 (rede frame relay)
    eth3 201.XXX.XXX.XXX (IP FIXO embratel)

    Bem, tenho uma outro servidor na minha rede local que vai ser meu servidor de Webservices e tem duas placas de redes.
    eth0 192.168.0.120 (logada na minha rede local)
    eth1 (seria a mesma faixa de IP da minha eth1 do fw que é a futura dmz) no caso 192.168.21.2?
    Bem se for isso até aí tudo bem.
    O fato é que como falei pra vocês tenhos 64 validos IPs disponiveis e quero utilizar um desses ips pra o Webservice ser acessado pela porta 80.

    Eu precisaria ter uma outra placa de rede no meu Servidor de Webservice pra dar a ele um IP valido? Ou eu defino isso no firewall?

    Agradeço a atenção de todos

    Abraços
    Chico

  2. #2

    Padrão Implementando DMZ

    Cara..

    nao deu pra entender muito bem essa colocação de ip's q vc fez.. mas acredito q seria mais fácil vc usar ip's válidos nos servidores...

    e melhor ainda seria vc utilizar um gateway interno para isolar a rede interna da DMZ...

    Espero ter ajudado..

    valew
    []ś

  3. #3
    Kablu
    Visitante

    Padrão ok

    Olá Amigo,

    No caso o seu webservice vc precisaria de uma placa só... só a do 192.168.21.2... ele rotearia as chamadas pelo ip externo que iremos atribuir... mas se vc quer acessa-lo localmente também de forma direta pode ter 2 placas, mas acho desnecessário.

    Bom, para configurar mais um ip externo que redirecionará a porta 80 para o webservice, vc deverá fazer isso no firewall...

    Atribua mais um ip no seu firewall copiando o arquivo

    cp /etc/sysconfig/network-scripts/ifcfg-ethX /etc/sysconfig/network-scripts/ifcfg-ethX:1

    O ethX é o referente a sua placa de rede que recebe um dos 64 ips externos.

    Dentro desse arquivo novo ifcfg-ethX:1 edite e troque o nome do device de ethX pra ethX:1 e coloque o ip novo... que será o ip referenciado ao WEBSERVICE.

    Feito isso reinicie sua rede para aplicar as novas configurações de ip.

    Bom agora é só fazer uma regra no seu firewall que redirecione tudo que vier do ip novo 201.X.X.X que é o ip novo do device ethx:1 pra porta 80 ele redirecionar pra maquina interna porta 80.

    iptables -t nat -A PREROUTING -p tcp -m tcp -s 201.X.X.X --dport 80 -j DNAT --to-destination 192.168.21.2:80

    assim ele redireciona tudo que vier desse 201.X.X.X pra porta 80 no ip 192.168.21.2 porta 80


    Qualquer duvida tamos ae!!


    Abraço :good:

  4. #4
    fjacunha
    Visitante

    Padrão Implementando DMZ

    Olá Amigos

    Obrigado pela atenção!!!!

    Vamos lá Lucianogf, eu até poderia colocar ips validos no meus servidores, mais eu não posso isola-los da rede interna, já que preciso de um desses servidores acessar um banco de dados.
    mais valeu mesmo a resposta.

    Kablu
    cara era exatamente isso que eu estava pensando, só que eu não sabia que eu poderia ter outros endereços ips na minha placa no caso ETH3 além do IP que eu já havia setado.
    então na teoria ficaria da seguinte forma.
    minha ETH3 seria essa ETHX que já tem um IP setado no caso 201.XXX.XXX.XXX aí atraves do arquivo ifcfg-eth3 eu iria editar e salvaria com um novo nome icfg-eth3:1 com o outro IP 201.XXX.XXX.1
    e depois usaria a sintaxe do NAT?

    Vou testar!!!!
    Acredito que deva funcionar.
    Eu estou usando o FWBUILDER com IPTABLES por baixo. aí vou dar uma sacada nela.

    Muito obrigado mesmo aos Dois
    Abraços
    Chico

  5. #5
    Kablu
    Visitante

    Padrão :D

    Exatamente isso!

    To no aguardo pra saber se funcionou!

    Abraço :good:

  6. #6
    fjacunha
    Visitante

    Padrão :D

    Fussou!!!

    Hehehehehhee

    aí analisando bem o tópico e um material que encontrei na net sobre DMZ, eu desabilitei a outra placa de rede que saia pra minha rede local. e só deixei essa máquina na DMZ

    Abraços
    E valeuz

  7. #7
    felco
    Visitante

    Padrão Implementando DMZ

    Cara você deveria comprar +1 Switch é ligar nele todos os seus servidores, esse Switch ficara a DMZ, nesse Switch vai ficar tambem um Firewall com 2 INT´s uma ficara em crossover com seu outro Firewall é uma ficara no Switch da DMZ assim ficaria bem seguro...
    Mas você pode dispensar um Firewall a + é espetar seu Firewall na Switch da DMZ é depois configurar o Router acima do seu Firewall, que deveria estar em crossover com o Firewall, para "conversar" só com o Firewall é atravez de NAT 1:1 você "forja" um IP válido nos servidores da DMZ...