faq обучение настройка
Текущее время: Вс июл 20, 2025 02:18

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 112 ]  На страницу Пред.  1, 2, 3, 4, 5 ... 8  След.
Автор Сообщение
СообщениеДобавлено: Пт окт 26, 2012 05:21 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Делать одинаковые подсети на разных интерфейсах - задача нетривиальная и требующая специальных задач

Если вы хотите песочницу, выводите все сервера с внешним доступом в отдельную подсеть, включайте в DMZ и настраивайте правила

В базовой конфигурации же - как минимум для начала - просто все работают в LAN

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 05:37 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
второго провайдера Вы так же можете через дфл запустить, дфл может их резервировать
на дмз, по умолчанию, надо ставить другую подсеть, к примеру 192.168.1.0/24 соответственно у почтовика адрес будет 192.168.1.3
Фаервол будет роутить эти подсети, если конечно не запретите этого правилами или дефолтные маршруты не отмените
доверительные отношения будут когда в правилах пропишите lan/lannet <-> dmz/dmznet = all_service, либо можете настроить конкретные порты, что более надежно в плане безопасности
прокси лучше выставлять так же в дмз зоне, в этом случае Ваша сеть будет под "двойной защитой" 1-фаервол, 2-дмз зона, логическая цепочка будет выглядеть так:
сеть 192.168.0.0/24 -> dmz -> firewall -> internet

и если на фаерволе правильно пропишете правила, злоумышленнику будет гораздо трудней пробиться в Вашу сеть.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 07:56 
Не в сети

Зарегистрирован: Чт окт 25, 2012 07:48
Сообщений: 33
По читал мануал, сделал по нему, получилось наконец таки из лан в дмз по радмину попасть) принцип немного уловил))
Начал настраивать как вы рекомендовали, в дальнейшем так и хочу, прокси тоже будет в дмз, понравилась мне эта дмз)) а второй провайдер перекину на файер))

Расскажите пжлста, зачем Группировать интерфейсы? какие свойства мы получаем при их группировке? (допустим лан и дмз) и потом добавлять их в main таблицу маршрутизации? т.е. как я понял, чтобы эти интерфейсы могли друг с другом работать? без этих действий они работать друг с другом не будут?

з.ы. мануал уже распечатывается, так что глупых вопросов надеюсь будет по меньше)))


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 08:30 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
группировать для удобства и сокращения количества правил .
лично я не группирую у меня на 210м их с запасом да и требований не столько .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 10:17 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Согласен с barracuda8, я тоже представляю вот такау схему более логичной:
Изображение

Остается только очень аккуратно все разрулить:
Viton-Zizu писал(а):
Суть такая) я плавно ввожу фаервол в уже рабочую сеть...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 11:00 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
MTRX
Боюсь Вы таким образом сетку в кольцо завернете :)
Прокси к лановскому свичу не надо подключать, все пакеты рулить через DFL


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 11:04 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Ну так у Прокси же интерфейсы разные! Гейт просто не прописывать и все. ;-)
Не спорю, можно и через DFL, виртуальными интерфейсами.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Последний раз редактировалось MTRX Пт окт 26, 2012 11:17, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 11:16 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
Тогда это должна быть уже 3-я сетка и на всех компах в лане надо будет по второму IP адресу выставлять, или лановский свичь брать управляемый, и строить роутер, безопасность этим не повысится, а сложность настройки увеличится.

Но по вопросу безопасности, на передавой всегда остается firewall, если его взломают - всей системе капут, потому если защита очень важна лучше сразу закупать доп.лицензии


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 11:19 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Вот смотрю...
Да, наверное лучше через DFL'ку заруливать на Проксю. А там на WANs

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2012 11:26 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Viton-Zizu писал(а):
Расскажите пжлста, зачем Группировать интерфейсы? какие свойства мы получаем при их группировке?
Например, создаете группу WANs = wan1 + wan2 и используете в правилах.
Количество правил сокращается, наглядность улучшается.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб окт 27, 2012 08:03 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Строго говоря, прокси-сервер в DMZ совсем не нужен - его можно поставить и в LAN

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб окт 27, 2012 10:59 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
danilovav писал(а):
Строго говоря, прокси-сервер в DMZ совсем не нужен - его можно поставить и в LAN

В случае взлома проксисервера злоумышленнику будет доступна вся сеть лана, если прокси будет стоять за фаерволом, и настроены правила только для HTTP, это будет еще одно препятствие на пути


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб окт 27, 2012 13:22 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
часто в таких схемах не учитывают еще один вариант, очень простой вариант, можно просто попросить провайдера еще один внешний IP, внешний провод воткнуть в свич, а в него уже прокси и dfl


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб окт 27, 2012 19:31 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
И в чем профит? Можно всю схему защиты?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб окт 27, 2012 22:19 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
barracuda8 писал(а):
danilovav писал(а):
Строго говоря, прокси-сервер в DMZ совсем не нужен - его можно поставить и в LAN

В случае взлома проксисервера злоумышленнику будет доступна вся сеть лана, если прокси будет стоять за фаерволом, и настроены правила только для HTTP, это будет еще одно препятствие на пути

Данное высказывание применимо только если у прокси белый адрес
В обычной же схеме прокси - это такой же клиент за NAT, к которому нет доступа извне

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 112 ]  На страницу Пред.  1, 2, 3, 4, 5 ... 8  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 288


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB