sslug-teknik team mailing list archive

[jens lauterbach <jeans@xxxxxx>]

Klavs Klavsen wrote:
> 
> Det kan gøres på mange måder.. afhængig af sikkerhedsønsker..
> 
> 1.vi har f.ex. alle vores eksterne adresser på et dmz område - dvs. et
> seperat netkort på firewall'en.. (i dit tilfælde - medmindre du vil have 2
> firewall's :-) og så har jeg bare tildelt det indkøbte adressesegment til
> denne.. Dette spilder dog en ekstern ekstra adresse på firewall'en..

Dette er dog også planen, men i første omgang skal et meget begrænset
antal maskine
være offentlig tilgængelige bag firewallen. Det er dog et klart et
problem, at hvis en af de offentlige maskiner bagved bliver hacket er de
inde på det private net. Det kan jo undgås (lidt ihvertfald) ved en DMZ
løsning.

> 
> 2. Ønsker man ikke at gøre dettte, kan man f.ex. give den interne maskine
> med en 192.168.x.x adresse, et eth0:0 med den eksterne adresse og lave en
> route "ekstern.adresse" gw 192.168.x.x.. Eneste Men her, er at når
> 192.168.x.x kommunikerer ud (undtagen når den svarer på pakker til
> "eksterne.adresse") vil den gøre det med 192.168.x.x adressen, som så
> bliver nat'ed af WOL routeren..

Det er dette jeg ønsker, idet jeg forstår at maskinerne samtidig kan
være på det internet netbios netværk.
Planen er jo at jeg så bare fortæller hvilke private ipnumre der skal
være offentlige og så routere dem i firewallen.
> 
> 3. Det kan godt være at man kan finde programmer til at rewrite en bestemt
> 192.168.x.x adresse's pakker til en anden "ekstern.adresse"?
jep

> 
> 4. evt. kan hele scenariet (dvs. rewrite til intern-fra ekstern og fra
> intern -til ekstern adresse) laves i WOL-routeren, hvis en Cisco 677 kan
> håndtere flere ip-adresse ?
Ja, muligvis, men det vil jeg spørge om på wol/adsl lister, meen
selvfølgelig hvis der er nogen her der har et godt svar!

vh, Jens