DMZ
Dan Lukes
dan at obluda.cz
Thu Nov 27 18:37:56 CET 2008
Jaroslav Juha wrote:
>>> zkoumam, jak nejlepe udelat na FBSD budto DMZ nebo NAT 1:1. Vygooglil
> OK, tusil jsem to ;-) Tedy jde mi o bezne proroutovani verejnych IP
> adres za NAT
Aha - takze ty nemas DMZ, ty mas (vedle vnejsiho sveta) proste vnitrni
sit a chces na nektere stroje v ni umoznit pristup "z venku".
No, abych pravdu rekl, ciste reseni by bylo "udelat DMZ" - to jest -
tyhle stroje z vnitrni site vyclenit, dat jim odpovidajici verejne
adresy - a pak uz jen vyresit firewall mezi vnejsim svetem a DMZ a mezi
DMZ a vnitrni siti.
Jde totiz o to, ze verejne dostupny stroj (at uz nativne nebo pres
preklad) je vzdy do jiste miry odhrozen napadenim a tudiz je rozumne
nemit ho hned vedle klicovych vnitrnich stroju (kdyby se jeho napadeni
povedlo, ma dotycny uz volne pole pusobnosti ve vnitrni siti). Firewall
mezi DMZ a vnitrni siti tak snizuje riziko skod velkeho rozsahu.
No a to co ty chces je prosty forwarding verejne adresy na jinou adresu
v prekladane siti. No tak to hledas "man natd" a konkretne
"-redirect_address", rekl bych ...
Dan
More information about the Users-l
mailing list