- Subrede com FreeBSD
+ Responder ao Tópico
-
Subrede com FreeBSD
Olá pessoal,
Tenho um link dedicado com uma range /29. O roteador é ligado ao meu firewall FreeBSD. Gostaria de dividir essa rede em 2 subredes. A primeira ficaria na porta do firewall ligada ao roteador e a segunda ficaria na segunda placa de rede que seria minha DMZ. É possível? Como seria a configuração do FreeBSD. Fico no aguardo.
-
Re: Subrede com FreeBSD
Olá LSwifi.
Se entendi certo, você deseja é ter atrás do seu servidor, hosts com IPs públicos, passando por dentro de seu servidor FreeBSD, como no diagrama abaixo. isso?
switch-----FreeBSD----router
..|
host(01)
..|
host(02)
..|
host(03)
..|
host(04)
Entretanto, considerando que seu range é /29 (portanto com 8 IPs, sendo 5 livres e 3 pré-alocados com network, gateway e broadcast), não teria nesse caso, até onde eu sei, com dividir em dois ranges de /30 e ainda assim estes serem públicos e passando por dentro do seu servidor. Se seu link fosse um /28 até daria, mas aí é outro caso e não vamos considerar.
Algumas operadoras entregam duas faixas /29, sendo uma para WAN, e outra para "public LAN", mas não vamos considerar essa situação também.
Se o seu caso atende o diagrama (ASCII) acima, então poderia fazer de duas formas:
a) FreeBSD em bridge.
b) FreeBSD com NAT, usando redirect_address.
As duas soluções acima são boas, entretanto, em alguns casos de NAT, onde não é possível atribuir o endereço WAN na aplicação ou serviço nos hosts atrás do firewall, e podem acontecer inconsistências. Por exemplo: Centrais telefônicas antigas sem flag para "WAN Address" na interface ethernet ou VoIP.
Enfim, se não for exatamente isso que precisa, especifique com mais detalhes, para que possamos ajuda-lo. Se possível, faça um diagrama.
Saudações,
Trober
Última edição por trober; 23-06-2011 às 14:58.
Razão: correção gramatical
-
Re: Subrede com FreeBSD
Trober,
Sim, quero IPs públicos atrás do firewall. Quero colocar servidores de e-mail, dns, web, ftp nessa rede. Já tinha lido que posso fazer isso com o redirect_address, mas não imagino como fazer isso por exemplo com servidor de e-mail e DNS. Tens uma dica em relação a isso?
-
Re: Subrede com FreeBSD
Olá LSwifi.
Tendo esse seu cenário, com um bloco /29, eu optaria por um FreeBSD em bridge.
Os dados abaixos são ilustrativos, mas ajudarão a transparecer a ideia de como eu faria.
Considerando que os dados do seu LINK são:
Network: 200.200.200.152/29
Gateway: 200.200.200.153
Range: 200.200.200.154 até 200.200.200.158
Broadcast: 200.200.200.159
E considerando que os dados do seu SRV-FW (firewall) são:
Hostname: SRV-FW
Interface Externa: ext0
Interface Interna: int0
Interface em bridge: bridge0
IP da interface bridge0: 200.200.200.154
Feito isso, o acesso entre o "mundo externo" e todos os seus servidores MX, DNS e FTP(S) e HTTP(S) será transparente por meio do SRV-FW. Esse servidor firewall, por sua vez, nem precisaria de endereço IP, mas por razões de gerenciamento, obviamente, é melhor ter endereço atribuído.
Acredito ser melhor o FTP(S) e HTTP(S) no mesmo servidor (que chamamos aqui de SRV-A), e MX em outro servidor (que chamamos aqui de SRV-B) e o serviço de DNS nos dois servidores (SRV-A e SRV-B).
Enfim, talvez o que apresentei não seja a melhor forma, mas com base no que (pouco) conheço, faria assim.
Adicionalmente recomendo ler sobre a opção IPSTEALTH para compilação do seu kernel.
Espero ter sido útil.
Saudações,
Trober
-
Re: Subrede com FreeBSD
Mesmo o freebsd em bridge você pode fazer filtro de pacotes e até proxy transparente se quiser. Praticamente nada se diferencia. Pode-se também se quiser fazer o uso do TPROXY.
De uma lida no manual:
man if-bridge
Saudações,