sslug-teknik team mailing list archive

Thread
Date

Re: DMZ på LAN

To: sslug-teknik@xxxxxxxx
From: MONZ <monz@xxxxxxxxx>
Date: Mon, 20 Mar 2000 20:37:59 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Sender: root@xxxxxxxxxxxxx

Rasmus Resen Amossen wrote:
> 
> Jeg er igang med at konvertere min arbejdsplads' interne netværk til at
> køre på Linux istedet for NT og har brug for hjælp:
> 
> Hvis man skal lave sig et ordenligt privat netværk i et større format,
> bør man såvidt jeg har forstået det, dele op i inet, dmz og lan.
> -Firewallen skal have 3 netkort, et til dmz og et til lan.
> -gatewayen til dmz har ligeledes to netkort, et til lan og et til
> firewall.
> 
> I den forbindelse har jeg lige et par spørgsmål. Lad som praktisk
> eksempel sige, at der skal sidde en filserver i dmz. Denne filserver må
> meget gerne kunne nås fra både inet og lan.
> 
> Bør jeg lade serverne i dmz have lokale ip-adresser eller skal jeg lade
> dem have inet-gyldige ip-adresser?

IP'er fra private addresse intervaller, som du portforwarder til/fra.

> Hvorfor kan jeg ikke bare lade filserveren være en maskine på LAN'et?

Kan du da ozze godt, men så åbner du for inet adgang til dit private,
eller lukkede, net. S'føli' kan du opsætte regler der præsis tillader
bestemte former for trafik mellem bestemte servere, samt i
hosts.deny/allow definere hvem der må connecte osv.
Har selv haft arbejde i en internetvirksomhed, der mente at firewalls
ikke hørte til sådan et sted, og klarede det hele med deny/allow, shadow
passwd og andet som fx. .htaccess i Apache. Alt her i livet drejer sig
om valg...

> Jeg kunne eksempelvis sige, at alt hvad der bliver sendt i gennem port
> XX på firewallen bliver redirected til denne maskine. Er dette en dårlig
> ide?

Som omtalt ovenfor.

> Jeg har svært ved at se formålet ved dmz, når der alligevel er fri
> adgang til og fra LAN.

Joeh, hvis det er det du ønsker. Ellers er DMZ prøsis beregnet til NETop
at isolere extern- fra intern net.

> Jeg har vedlagt en skønsom og meget smuk tegning af netopstillingen som
> jeg forestiller mig den (fylder kun 11k).

Sikker smuk og informativ, men filtreres jo fra, jfr. sslug's regler.
Læg den i stedet på en URL og gi' os URL'en.
Mindre conf-filer kan altid lægges som inline i mails.
-- 
Mogens Valentin  WWW: http://www.danbbs.dk/~monz/  mailto:monz@xxxxxxxxx
Web, Programming, Network, Security - Installguides and docs for Linux..
Skaane/Sjaelland Linux User Group (5200++ members) - http://www.sslug.dk
Use http://www.linux.org/ for freedom of choice with OpenSource software

References

DMZ på LAN
From: Rasmus Resen Amossen, 2000-03-20