sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <200007201323320821.01052B7F@xxxxxxxxxxxxxxxxxxxx> "Lasse Wieslander" <cf_linux@xxxxxxxxxx> writes:

>Jeg havde regnet med at køre private ip'erer på det sikrenet, og maske
>dem via firewallen
[snip]
>I DMZ'en er jeg meget i tvivl om jeg skal bruge offentlige iperer (routet
>og filtreret gennem firewallen) eller private (der så bliver mappet i
>firewallen).
>Hvad gør man normalt ??

Det er efterhånden sjældent, at jeg ser offentlige IP adresser brugt
på DMZ maskiner. Som regel laver man NAT'ing og bruger private
IP-numre i DMZ'en.

Det giver selvfølgelig lidt ekstra arbejde for firewall-maskinen, men
til gengæld får du væsentlig bedre muligheder for at logge trafik
til dine DMZ maskiner. Plus det ekstra sikkerhedsniveau, der ligger
i NAT funktionen.

>Og hvis man har private ip'ere, skal de så mappes til samme ip ind og ud,
>eller kan man godt opsætte dem som en normal masqerade via firewallen, og
>bare portmappe de indgåenede forbindelser ???

Du kan sagtens bruge normal masquerading, og så kun mappe de få porte
på firewallen der skal igennem til DMZ maskinerne statisk (det kaldes
ofte for en "tunnel").

>jeg regner igen med at tillade alt ud, men kun bestemte port/ip
>kombinationer ind...

Det er også det mest almindelige. Man kan godt begrænse udgående
trafik (f.eks. har en mail-server kun brug for at lave udgående trafik
fra port 25 + DNS opslag). Men som regel lægger man filtreringen på
indgående trafik.
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor