DMZ

Zbyněk Burget zburget at burgnet.cz
Thu Nov 27 23:01:03 CET 2008


Jaroslav Juha napsal(a):
> To je sice pravda, ale tim bych ztratil moznost napr. omezovat datovy
> tok k temto strojum s verejnymi adresami centralizovane pomoci pipe na
> "centralnim" routeru. Jestli se nepletu, tak pokud je dam za NAT tohoto
> stroje, tak tu moznost mit asi budu...

To jsem ted trochu nepochopil. Na moji siti mam jeden "hlavni" router, 
na vnitrni strane site mam nekolik rozsahu adres jak privatnich 
(prekladanych), tak nekolik rozsahu adres verejnych (neprekladanych) a 
shapuju provoz ze vsech, bez ohledu na to, jestli prochazeji pres NAT 
nebo ne.
Pres router a firewal (ipfw) prochazeji packety vsech stroju. Jak z 
rozsahu verejnych, tak privatnich adres. Jediny rozdil mezi nimi pak je 
ten, ze ty privatni musim navic jeste rvat do NATu. A po pravde jsem 
vdecny za to, ze tam nemusim rvat vsechny a ze mi to tak moc nezatezuje 
router :-)

Zbynek



> 
> J.
> 
>> ...a nebylo by proste nejjednodussi ten strojum dat fyzicky verejne 
>> adresy a pustit je mimo preklad adres?
>> Pokud tedy toto reseni neni z nejakeho duvodu nepouzitelne. Z hlediska 
>> bezpecnosti je to uplne jedno, protoze stejne ma pripadny utocnik 
>> vlastne primy pristup na ten vnitrni stroj a navic to min zatezuje 
>> router (ten se nemusi zbytecne zdrzovat s NATem)
>>
>> Zbynek
>> --
> 
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l



More information about the Users-l mailing list