11 Server ma solo 5 Ip...

[Nuvolari2]

Spero di scrivere nella sezione giusta (ero indeciso se scrivere qui, oppure in server).
Ma credo sia una questione di Rete, più che di Server...

Veniamo al dunque:

Attualmente in ufficio ho una linea telecom con 64 Ip pubblici e statici. Ho 11 server, e non ho problemi di Ip.. ne ho anche fin troppi, rispetto ai server e ai servizi che ci girano...

Ma a breve toglieremo Telecom e in ufficio mi arriva una connessione Fastweb con solo 8 Ip pubblici e statici. Di questi solo 5 Ip sono disponibili (il primo e l'ultimo non si possono usare, e uno è impegnato dal loro router).

Io però, qui ufficio, ho 11 server (tutti Windwos 2000 server che presto verrano migrati in Windows 2003 Server) che devono essere messi in rete... più un ip che dovrebbe essere riservato ai client dell'ufficio che devono accedere ad internet pure loro (sotto DHCP)

e per l'esattezza ho:
4 server web
3 server sql
1 server ftp
1 server mail
2 server dns


Per risolvere il problema numero di Ip disponibili - numero di server da collegare, ho pensato di utilizzare un router per assegnare Ip privati ai server sql, e mettere i servizi web tutti su un solo server.
In pratica diventerebbe

1 server web (che riunisce i 4 di prima + il server ftp)
1 server mail
1 server dns

Le domande sono:

è possibile assegnare l'IP pubblico statico al server Web, e assegnare un Ip privato statico al server SQL, in modo che il server Web possa interrogare il server SQL, senza "sprecare" un indirizzo Ip pubblico?
Inoltre, è possibile sempre con il medesimo meccanismo, fare in modo che il server Web/Ftp punti ad una cartella virtuale depositata fisicamente su un altro server con Ip privato statico ?


Quale router mi consigliate per gestire questa modifica alla rete interna così come l'ho spiegata?

Spero di essere stato sufficientemente chiaro, se no me ne scuso... e vi chiedo di farmi tutte le domande del caso per capirsi meglio.

sono parecchio in sbattimento per sta cosa... e non sono neppure un grande esperto di reti...
Grazie!!!

[indre]

ciao..
come apparato mettici senza dubbio davanti un bel firewall che gestisca il NAT.
Il router suppongo te lo fornisca fastweb..

sul firewall, consiglio fortinet, fai i nat 1:1 per i server che ti servono..
indi i SV avranno tutti ip privato nattato poi sul firewall.

Per i collegamenti all'interno della LAN nessun problema.

Unica cosa suppongo che il tuo dominio rimarrà senza mail per 1/2 gg per il propagarsi dei nuovi record dns.
ciao

[Nuvolari2]

Originariamente inviato da indre
ciao..
come apparato mettici senza dubbio davanti un bel firewall che gestisca il NAT.
Il router suppongo te lo fornisca fastweb..

sul firewall, consiglio fortinet, fai i nat 1:1 per i server che ti servono..
indi i SV avranno tutti ip privato nattato poi sul firewall.

Per i collegamenti all'interno della LAN nessun problema.

Unica cosa suppongo che il tuo dominio rimarrà senza mail per 1/2 gg per il propagarsi dei nuovi record dns.
ciao

Ok, innanzi tutto grazie !

non mi è chiara però questa frase:

sul firewall, consiglio fortinet, fai i nat 1:1 per i server che ti servono..
indi i SV avranno tutti ip privato nattato poi sul firewall.

fortinet è la marca o il modello? (nel primo caso, quale modello consigli?), e cosa intendi con nat 1:1 ? Tutti i server sotto ip privato nattato? quindi non ci sarà NESSUN server con Ip pubblico assegnato...? quindi mi serve un solo Ip da assegnare al firewall?

ci sto capendo qualcosa o sono fuori rotta?

grazie, ciao !

[indre]

ciao.
dunque, fortinet è la marca i modelli son Fortigate..
a seconda del traffico, indi il troughput necessiti + o - di modello carrozzato o no..
ti dico io per un taffico medio internet + mail ecc.. per 30 pc uso i 100A.
Le licenze costicchiano se le prendi tutte (antivirus, antispam, webfiltering) ma son prodotti davvero validi.

per il secondo punto hai centrato..
non è necessario metter ip pubblico direttamente sulla macchina, ma metter un Virtual IP (nat 1:1) direttamente sul fortinet.. in modo che gestisca lui il tutto..

il tuo mailserver (deve deve usare sempre lo stesso ip!) sarà nattato dal fortinet ad uscire con un determinato ip, dns un'altro web server un'altro e il traffico lan con un'altro ancora.

metterei i servizi pubblici su dmz, su subnet differente da lan oivviamente, in questo modo puoi filtrare anche il traffico fra lan e dmz.

poi si può andare + nel tecnico se deciderai di comprare i fortinet.

[albgen]

e basta con sti' fortinet :ignore:

[indre]

e basta con sti' fortinet

nun c'è sta paragone!

[SUPERMIKY]

Originariamente inviato da Nuvolari2
e per l'esattezza ho:
4 server web
3 server sql
1 server ftp
1 server mail
2 server dns

A mio parere 5 ip sono + che sufficienti...
Segue un piccolo schema di come organizzerei la cosa io

codice:

Indirizzo IP     Porte da nattare     Server destinatario
-------------------------------------------------------
1.1.1.1          80                        Primo web server
                   1433                    Primo server SQL
                   53                      Primo DNS
-------------------------------------------------------
2.2.2.2          80                        Secondo web server
                   1433                    Secondo server SQL 
                   53                      Secondo DNS
-------------------------------------------------------
3.3.3.3          80                        Terzo web server
                   1433                    Terzo server SQL
-------------------------------------------------------
4.4.4.4          80                        Quarto web server
                   21                      Server FTP
-------------------------------------------------------
5.5.5.5          110/25                    Mail server
-------------------------------------------------------