Criando DMZ (Orange)

[andrei1976]

Pessoal tenho o seguinte cenário:

16 Ip´s públicos

Meu endian tem um Ip público associado na “RED”

e tenho outros 15 servidores com Ip´s públicos, quero que todos estes façam parte de uma DMZ “Orange”, mas econtrei um problema, o Endian não aceita que estes 15 servidores estejam na mesma rede da “RED”.

Step 4/8: Internet access preferences

The RED and ORANGE networks are not distinct.

The DEFAULT GATEWAY is within the ORANGE network.

Se alguém ajudar e esclarecer os passos para montar esta DMZ!

Obrigado.

[Eduardo Silva]

Interessante, muito interessante. 🙂

Bem, realmente o endian (e nenhum outro linux ou router) irá aceitar que você configure duas interfaces ligadas em pontos distintos utilizando a mesma rede. Isto causaria uma grande bagunça nas rotas do sistema. pois o endian não saberia em qual placa de rede os seus servidores ficariam.

Que tipo de conexão você tem? qual o equipamento que está sendo utilizado?

A minha sugestão é tentar montar uma “rede de interligação” com IPs privados entre o modem e o Endian ex:

modem 10.1.1.1

endian (red) 10.1.1.2

Após isto, nas configurações do seu modem, crie uma rota estática para os seus ips públicos apontanto para o ip do endian (red). Não esqueça de liberar no seu modem, todo o tráfego que vem da internet com destino a sua rede pública, deixe que o endian faça toda a filtragem.

Agora configure a sua interface Orange e cada um dos seus servidores com um ip da sua rede pública. Esta é a forma mais limpa e eficiente de criar uma dmz, utilizando ips públicos ao invés de um mar de nats. Nesta opção, você provavelmente também vai querer que cada servidor acesse a internet com o seu respectivo ip e não com o IP do endian. Veja este tópico para desabilitar o source nat: http://endian.eth0.com.br/topic/remover-nat-no-endian

Uma outra alternativa, caso você não consiga executar a primeira por algum motivo, é de configurar todos os IPs da sua rede pública na interface red do endian e criar a sua dmz com IPs privados. depois basta mapear cada ip configurado no endian para um servidor diferente na sua DMZ utilizando NAT.

Se você me permite sugerir, eu recomendo fortemente o uso de uma DMZ routed, o resultado final fica mais limpo e mais elegante 😉

Hey, não esqueça de voltar aqui e contar como fez.

[]’s

[andrei1976]

Eduardo,

Desculpe pela falta de informações, a minha estrutura é a seguinte:

– Interligação com RNP via fibra (Roteadores e tudo mais ficam na RNP). Os servidores são plugados no switch e pronto estamos na web.

– Possuo 16 IP´s e todos os meus servidores devem responder a rede publica através destes ip´s.

Então o que pensei foi montar um firewall e colocar esses servidores em uma DMZ. Eu francamente nunca fiz isso.

O que vc acha?

[Eduardo Silva]

andrei1976,

Te deixei na mão né? Andei meio atrapalhado com o serviço e não consegui dar continuidade no assunto.

Bem, colocar um firewall na frente dos seus servidores é algo muito positivo, você estará aumentando consideravelmente a segurança, ainda mais se você configurar VPNs para realizar o acesso externo aos seus servidores (principalmente para os serviços mais sensíveis que não precisariam estar liberados para a internet inteira ex: ssh, vnc, terminal service, etc…)

Veja com a RNP a possibilidade de utilizar um ip privado para a interligação entre o seu firewall e o próximo router, você também precisará de uma rota estática no próximo router dizendo que para chegar na sua rede, devem utilizar o ip privado do seu firewall.

Se esta possibilidade não existir, configure todos os seus endereços públicos na interface RED do endian e configure IPs privados na sua DMZ. Desta forma será necessário criar NATs dos ips públicos para os ips privados.

[]’s

[andrei1976]

Cara tranquilo, vc tá ajudando até demais, rss.

Só tenho a agradecer!

[alexslz]

Andrei1976, cara a sua ajuda não serviu apenas para o companheiro ai, mais a mim também pois estou passando pela mesma situação, gostaria de poder contar com sua ajuda se possível for., desde já agradeço…

[Autor]

Posts