sslug-teknik team mailing list archive

[Jan Rasmussen <linux@xxxxxxxx>]

Hejsan!

"Henrik Størner" wrote:
> Klassisk eksempel - må kunne findes i et dusin bøger om firewalls:
> 
>                           Internet
>                              |
>                              |
>                              |
>                            Router
>                              |
>  Router-net (192.168.1.x/24) |
>                              |
>                           Firewall---+--------+---- DMZ-net
>                              |       |        |     (192.168.2.x/24)
>                              |      Mail     Web
>                              |
>                              |
>          --+-------+---------+--------+--------+--- Internt net
>            |       |         |        |        |    (10.x.x.x/8)
>           PC1     PC2       PC3
> 
> "DMZ" står for "De-Militarized Zone"
> 

Er det ikke mere sikkert (men også dyrere i HW) med en konfig a la:

 Internet
     |
  Router
     |
 Firewall
     |
     +--------+-----+-----+       DMZ-net (192.168.x.0/24)
     |        |     |     |
 Firewall   Mail   Web   FTP
     |
     +-------+-----+-----+--      Lokalt Net (192.168.y.0/24-30)
     |       |     |     |
Filserver   PC1   PC2   PC3
(NFS/SMB/
evt TFTP)

Begge Firewalls kører Masq. På denne måde skal 2 boxe kompromitteres,
før der er adgang til det interne net. Regler for, hvad der kan gå
igennem de to firewalls. F. eks. *ingen* forbindelser direkte fra det
lokale net og ud på det onde internet og vice-versa.

Tror vist nok at noget lignende ovenstående også er at finde i
Firewall-HOWTO'en

MvH

Jan Rasmussen