DMZ

[Vilem Kebrt]

Zdravim ..
Hadam ze asi tusim o co tu jde...
Ja to resim relativne jednoduchym zpusobem, na "WAN" rozhrani routeru 
mam nahazene ty adresy a pres naty to rozstreluu na vnitrni 
adresy...(nam totiz inteligenti od CEZNETu rozsah na intf. nahodili a 
nenaroutovali...prej ze ospf s nama resit nechtej a ja tam mam 2 routery 
co se zalohujou navzajem).
jinak je to skutecne ten redirect :)

Zdravi Vilem

Zbyne(k Burget napsal(a):
> Jaroslav Juha napsal(a):
>> To je sice pravda, ale tim bych ztratil moznost napr. omezovat datovy
>> tok k temto strojum s verejnymi adresami centralizovane pomoci pipe na
>> "centralnim" routeru. Jestli se nepletu, tak pokud je dam za NAT tohoto
>> stroje, tak tu moznost mit asi budu...
>
> To jsem ted trochu nepochopil. Na moji siti mam jeden "hlavni" router, 
> na vnitrni strane site mam nekolik rozsahu adres jak privatnich 
> (prekladanych), tak nekolik rozsahu adres verejnych (neprekladanych) a 
> shapuju provoz ze vsech, bez ohledu na to, jestli prochazeji pres NAT 
> nebo ne.
> Pres router a firewal (ipfw) prochazeji packety vsech stroju. Jak z 
> rozsahu verejnych, tak privatnich adres. Jediny rozdil mezi nimi pak 
> je ten, ze ty privatni musim navic jeste rvat do NATu. A po pravde 
> jsem vdecny za to, ze tam nemusim rvat vsechny a ze mi to tak moc 
> nezatezuje router :-)
>
> Zbynek
>
>
>
>>
>> J.
>>
>>> ...a nebylo by proste nejjednodussi ten strojum dat fyzicky verejne 
>>> adresy a pustit je mimo preklad adres?
>>> Pokud tedy toto reseni neni z nejakeho duvodu nepouzitelne. Z 
>>> hlediska bezpecnosti je to uplne jedno, protoze stejne ma pripadny 
>>> utocnik vlastne primy pristup na ten vnitrni stroj a navic to min 
>>> zatezuje router (ten se nemusi zbytecne zdrzovat s NATem)
>>>
>>> Zbynek
>>> -- 
>>
>> -- 
>> FreeBSD mailing list (users-l at freebsd.cz)
>> http://www.freebsd.cz/listserv/listinfo/users-l
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l