RE: [Fwd: RE: [opensuse-es] Problema con susefirewall2]
* Estoy dando por hecho que has comentado con tu isp lo del juego de mascaras
e ip's, vamos que el rango de ips de la dmz es distinto al de los enrutadores, no puedes enrutar ip's del mismo rango, ya te lo comente cuando lo del juego de mascaras y gateways, o te asigna una Vlan para aceder a ellas o haces puentes o cualquier otra cosa, entiendo las direcciones como "ejemplos" si es "at is", no puede funcionar, no se la mascara pero incluso, te pueden faltar hasta ip's para meter dos servidores en la dmz.
la cosa es como la comente.. 4 direcciones reales x.x.x.74, a la 77 con mascara 255.255.255.248 todas, con gateway x.x.x.73 y lo que pense es poner la 74 a intenret la 75 a la dmz y 76 y 77 los dos servidores que tengo, cambiando el gateway a la 75 que es el nuevo gateway dices que eso no funciona? Jaime V -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El mié, 17-11-2010 a las 20:19 -0500, Jaime Velez escribió:
la cosa es como la comente.. 4 direcciones reales x.x.x.74, a la 77 con mascara 255.255.255.248 todas, con gateway x.x.x.73 y lo que pense es poner la 74 a intenret la 75 a la dmz y 76 y 77 los dos servidores que tengo, cambiando el gateway a la 75 que es el nuevo gateway dices que eso no funciona? Jaime V
* Los primeros principios, las redes no se pueden enrutar con ips del mismo rango (hay mas que contar de esto pero seria enrollarse). * Se necesitan un minimo de 4 ips para una dmz. la del cortafuegos que enlaza con la dmz (Gateway de la dmz) la de la red fisica la de la maquina en la dmz la de difusion (broadcast) nota que tambien son direcciones publicas y no puedes usarlas a tu libre albedrio, el proveedor te ha dado una mascara que ajusta el uso de las mismas. * un esquema de ips seria el siguiente. 80.34.35.81 (el router del isp, gateway por defecto) 80.34.35.85 (la interfaz externa del linux) (esta debes adquirirla y que no sea del mismo rango que las siguientes) y ahora el pool de la dmz. 200.x.x.74 (la interfaz que conecta la dmz, gateway de las maquinas de la dmz) switch ----------- 200.x.x.75 (maquina en la dmz- gateway la 74) 200.x.x.76 (mquina en la dmz -gateway la 74) la de difusion y la red. etc .......... * Nota ademas que siendo purista falta el segundo cortafuegos perimetral que "exige" una dmz. * Entiendo que tu interes en la DMZ con ip's publicas es por un tema de certificados SSL y/o protocolos raros de sip, yo buscaria otras soluciones para eso, de hay que te aconsejase lo de colocar las ip's publicas en el exterior, quiero decir que no te obsesiones con una DMZ con ip's publicas pura por que no es la panacea de nada, si ademas la DMZ puede acceder a la red local estamos jodidos, falsear puertos de origen es bastante trivial si se compromete una de las maquinas expuestas y por tanto accederan a traves de esas conexiones permitidas a la red local. * Como te he dicho se pueden hacer salvedades con brinding o Vlans pero no se si no te complicaras para obtener objetivos menores. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Jaime Velez
-
jose maria