DMZ

Dan Lukes dan at obluda.cz
Thu Nov 27 18:37:56 CET 2008


Jaroslav Juha wrote:

>>> zkoumam, jak nejlepe udelat na FBSD budto DMZ nebo NAT 1:1. Vygooglil

> OK, tusil jsem to ;-) Tedy jde mi o bezne proroutovani verejnych IP
> adres za NAT

Aha - takze ty nemas DMZ, ty mas (vedle vnejsiho sveta) proste vnitrni 
sit a chces na nektere stroje v ni umoznit pristup "z venku".

No, abych pravdu rekl, ciste reseni by bylo "udelat DMZ" - to jest - 
tyhle stroje z vnitrni site vyclenit, dat jim odpovidajici verejne 
adresy - a pak uz jen vyresit firewall mezi vnejsim svetem a DMZ a mezi 
DMZ a vnitrni siti.

Jde totiz o to, ze verejne dostupny stroj (at uz nativne nebo pres 
preklad) je vzdy do jiste miry odhrozen napadenim a tudiz je rozumne 
nemit ho hned vedle klicovych vnitrnich stroju (kdyby se jeho napadeni 
povedlo, ma dotycny uz volne pole pusobnosti ve vnitrni siti). Firewall 
mezi DMZ a vnitrni siti tak snizuje riziko skod velkeho rozsahu.

No a to co ty chces je prosty forwarding verejne adresy na jinou adresu 
v prekladane siti. No tak to hledas "man natd" a konkretne 
"-redirect_address", rekl bych ...

						Dan





More information about the Users-l mailing list