per esperti in reti

[robyp]

ciao

avevo un dubbio, dato che non ho mai avuto modo di fare veramente pratica su una rete volevo porre un quesito in merito ad un dubbio su una rete così strutturata:


Ho un border firewall che collega Internet alla mia rete. Questa rete è composta da una DMZ (con i server pubblici www, senmail, dns primario e secondario) e poi 2 reti private a loro volta protette da un internal firewall.

Internet backbone-- border fw ___DMZ
|________ internal fw1 ____ pc1, pc2...pcn
|________ internal fw2 _____pc1, pc2...pcn

Volevo sapere se questa configurazione è possibile:

- il border firewall è stateless e permette ai pacchetti in input ed output sulle well-known ports di entrare (magari anche su altre porte tipo quelle di msn)

- il border firewall fa NAT o PNAT solo per le due reti private (che hanno ip privato)protette dai due firewall interni fw1 ed fw2 di tipo statefull.

In pratica considerando che ogni macchina nella DMZ fa da server e che uso 2 ip privati con NAT, dovrei avere a disposizione da internet 6 ip pubblici giusto?

A)Si può fare sta cosa?
B)Si può fare anche questa cosaa: NAT sui due internal server e niente NAT sul border firewall, lasciando il resto come già descritto?
C) lasciare solo il border firewall senza NAT e mettere i proxy per le due reti private?

grazie

Roby

[s|n3]

Originariamente inviato da robyp
- il border firewall è stateless e permette ai pacchetti in input ed output sulle well-known ports di entrare (magari anche su altre porte tipo quelle di msn)

per scelta o il firewall è solo stateless??

- il border firewall fa NAT o PNAT solo per le due reti private (che hanno ip privato)protette dai due firewall interni fw1 ed fw2 di tipo statefull.

il nat ti serve solo verso l'inetrno?

In pratica considerando che ogni macchina nella DMZ fa da server e che uso 2 ip privati con NAT, dovrei avere a disposizione da internet 6 ip pubblici giusto?

mi sfugge qualcosa....perchè 6 IP??

A)Si può fare sta cosa?

ti confesso che non mi è chiaro cosa.....al di là del numero di IP....sì un firewall può essere stateless e fare NAT e portforwarding....ma non credo sia questa la tua domanda.

B)Si può fare anche questa cosaa: NAT sui due internal server e niente NAT sul border firewall, lasciando il resto come già descritto?

senza nat (o portforwarding) sul firewall esterno dovresti avere un IP pubblico per ogni servizio sulla DMZ.....e poi diende sempre dal nat....serve solo in entrata? in uscita no?

C) lasciare solo il border firewall senza NAT e mettere i proxy per le due reti private?

cosa c'entra il NAT con i proxy??
mi sa che hai le idee un po' confuse....magari sarebbe meglio spiegare qual'è l'infrastruttura attualmente utilizzata quali limiti ha e perchè stai valutando queste modifiche.





p.s.
scegli un titolo più adeguato la prossima volta

[robyp]

In grassetto sotto, le risposte e le cose aggiunte...

Originariamente inviato da s|n3
per scelta o il firewall è solo stateless??
Il border firewall è statless perchè di buona norma è così in quanto chiunque dall'esterno può connettersi ad un server web o smtp della dmz non mi server controllare che chi accede dall'esterno è perchè qualcuno l'ha chiamato dall'interno(si no non sarebbero dei server)Se vuoi si può mettere stateful ma occupa + risorse di memoria un firewall stateful visto che deve mantenere lo stato delle conessioni!


il nat ti serve solo verso l'inetrno?
Il nat mi serve per macherare le due reti private in modo che da fuori si veda solo un ip pubblico


mi sfugge qualcosa....perchè 6 IP??
perchè il nat lo voglio fare solo sugli host delle 2 reti private mentre i server voglio che abbiano un ip pubblico


ti confesso che non mi è chiaro cosa.....al di là del numero di IP....sì un firewall può essere stateless e fare NAT e portforwarding....ma non credo sia questa la tua domanda.


senza nat (o portforwarding) sul firewall esterno dovresti avere un IP pubblico per ogni servizio sulla DMZ.....e poi diende sempre dal nat....serve solo in entrata? in uscita no?


cosa c'entra il NAT con i proxy??
Per i server web il proxy non fa richieste verso l'esterno tramite un suo ip? quindi l'ip degli host nelle reti private sarebbe macherato o no?

mi sa che hai le idee un po' confuse....magari sarebbe meglio spiegare qual'è l'infrastruttura attualmente utilizzata quali limiti ha e perchè stai valutando queste modifiche.

Non cè una infrastruttura se quando io metto il NAT su un firewall che collega internet a 3 reti DMZ, rete privata1 e rete privata2 posso applicarlo solo agli ip delle 2 reti private e lasciare gli ip nella rete DMZ come pubblici..Si no se non si può fare allora posso mettere NAT sugli internal firewall? ?



grazie
p.s.
scegli un titolo più adeguato la prossima volta ..e che titolo devo mettere, uno troppo specifico così poi nessuno o quasi lo legge? ? ?

[robyp]

Cosa intendi per nat in ingresso ed uscita? Io il nat intendo che traduce i pacchetti con ip che provengono da internet con ip pubblico della mia rete come destinazione (per esempio 80.80.80.80) in ip privato 192.168.0.2 e viceversa traduce un ip privato 192.168.0.2 in 80.80.80.80 che è quello del gateway dove cè il border firewall..Ma la traduzione la voglio fare solo sugli host delle 2 reti private mentre la DMZ ho 4 ip pubblici.. quindi 2 reti ip + 4 ip server = 6 ip...

Ora sono + chiaro?Si può fare ?

Originariamente inviato da s|n3
per scelta o il firewall è solo stateless??


il nat ti serve solo verso l'inetrno?


mi sfugge qualcosa....perchè 6 IP??


ti confesso che non mi è chiaro cosa.....al di là del numero di IP....sì un firewall può essere stateless e fare NAT e portforwarding....ma non credo sia questa la tua domanda.


senza nat (o portforwarding) sul firewall esterno dovresti avere un IP pubblico per ogni servizio sulla DMZ.....e poi diende sempre dal nat....serve solo in entrata? in uscita no?


cosa c'entra il NAT con i proxy??
mi sa che hai le idee un po' confuse....magari sarebbe meglio spiegare qual'è l'infrastruttura attualmente utilizzata quali limiti ha e perchè stai valutando queste modifiche.





p.s.
scegli un titolo più adeguato la prossima volta

[robyp]

Beh insomma io ste cose non ho mai avuto modo di affrontarle in ambiente lavorativo per ora; siccome le sto studiando e mi è venuta questa idea volevo sapere se funzionano così le cose e si no basta dire realmente come si fa ad implementare una rete così senza scendere nei dettagli ma restando sul mio punto di vista cioè dove mettere nat, firewall proxy, ecc

grazie per l'aiuto

Originariamente inviato da robyp
In grassetto sotto, le risposte e le cose aggiunte...

[s|n3]

Originariamente inviato da robyp
Il border firewall è statless perchè di buona norma è così in quanto chiunque dall'esterno può connettersi ad un server web o smtp della dmz non mi server controllare che chi accede dall'esterno è perchè qualcuno l'ha chiamato dall'interno(si no non sarebbero dei server)Se vuoi si può mettere stateful ma occupa + risorse di memoria un firewall stateful visto che deve mantenere lo stato delle conessioni!

mica vero......io ho tutto statefull ad esempio.....chiaro che richiede più risorse e ch per il clustering c'è da gestire la "tabella delle connessioni attive"....ma dipende dalle apparecchiature che usi


Per i server web il proxy non fa richieste verso l'esterno tramite un suo ip? quindi l'ip degli host nelle reti private sarebbe macherato o no?
ripeto...hai le idee mooolto confuse o hai difficoltà a spiegarti...o magari son stupido io che non capisco. Il proxy ti serve se devi fare filtri / controlli sulle connessioni dall'interno della tua rete verso internet.....

Non cè una infrastruttura se quando io metto il NAT su un firewall che collega internet a 3 reti DMZ, rete privata1 e rete privata2 posso applicarlo solo agli ip delle 2 reti private e lasciare gli ip nella rete DMZ come pubblici..Si no se non si può fare allora posso mettere NAT sugli internal firewall? ?
b...aho...sarò semo ma non capisco che vuoi dire

[s|n3]

Originariamente inviato da robyp
Cosa intendi per nat in ingresso ed uscita? Io il nat intendo che traduce i pacchetti con ip che provengono da internet con ip pubblico della mia rete come destinazione (per esempio 80.80.80.80) in ip privato 192.168.0.2 e viceversa traduce un ip privato 192.168.0.2 in 80.80.80.80 che è quello del gateway dove cè il border firewall..Ma la traduzione la voglio fare solo sugli host delle 2 reti private mentre la DMZ ho 4 ip pubblici.. quindi 2 reti ip + 4 ip server = 6 ip...

Ora sono + chiaro?Si può fare ?

certo che si può fare.....quindi hai 6 indirizzi pubblici......4 dedicati per 4 server che hai sulla DMZ e 2 sono gli indirizzi che usano per la navigazione le 2 reti interne. giusto??

[indre]

fai uno schema dettagliato e incollalo come immagine altrimenti è dura capire il giro del fumo..