Olá Pessoal,
Sei que por padrão a rede DMZ não acessa a rede local interna, porém preciso fazer com que meu web site rodando em apache no dmz acesse um banco de dados mssql server que está na rede interna. Alguém tem alguma ideia de como fazer isto? Já tentei adicionar regras de acesso e redirecionamento de portas, mas ainda não obtive sucesso.
Grato.
BFW Firewall & Router
A powerful network security tool, easy, safe and totally free.
|
|
||
DMZ e Rede Interna [INACTIVE]
5 mensagens
• Página 1 de 1
Re: DMZ e Rede Interna
por Claudio Roberto Cussuol » Seg Dez 06, 2004 4:45 pm
No port forward. Você clica em single port.
Você informa o ip da placa que liga o coyote à dmz como sendo o ip externo e o ip do servidor do banco como interno. Funciona legal.
Você informa o ip da placa que liga o coyote à dmz como sendo o ip externo e o ip do servidor do banco como interno. Funciona legal.
- Claudio Roberto Cussuol
Re: DMZ e Rede Interna
por publio » Sáb Jan 08, 2005 1:10 pm
Caros colegas da comunidade..
Por favor, retirem uma dúvida...
No CL, posso ter três interface de rede, sendo:
eth0 - rede interna
eth1 - pppoe
eth2 - outra rede interna, sendo que:
eth2 enxergue eth1 e eth1 não enxergue eth2??
isto existe??? Esta é uma rede DMZ????
Desde já fico agradecido.
Públio Gama \o/
Por favor, retirem uma dúvida...
No CL, posso ter três interface de rede, sendo:
eth0 - rede interna
eth1 - pppoe
eth2 - outra rede interna, sendo que:
eth2 enxergue eth1 e eth1 não enxergue eth2??
isto existe??? Esta é uma rede DMZ????
Desde já fico agradecido.
Públio Gama \o/
- publio
Re: DMZ e Rede Interna
por Claudio Roberto Cussuol » Seg Jan 10, 2005 3:52 pm
"eth1 - pppoe
eth2 - outra rede interna, sendo que:
eth2 enxergue eth1 e eth1 não enxergue eth2??
isto existe??? Esta é uma rede DMZ???? "
Sim.
A DMZ (Zona desmilitarizada) foi acrescenta no coyote com outra finalidade. Mas serve direitinho para isso que você está tentando fazer.
O unico detalhe é que as suas regras para quem-encherga-quem estão invertidas. O default é:
Da LAN (eth0) para a Internet (eth1) = Pode
Da Internet (eth1) para a LAN (eth0) = Não Pode
Da DMZ (eth2) para a Internet (eth1) = Pode
Da Internet (eth1) para a DMZ (eth0) = Não Pode
Da LAN (eth0) para a DMZ (eth2) = Pode
Da DMZ (eth2) para a LAN (eth0) = Não Pode
Porque?
O prósito da DMZ é criar um ambiente seguro onde você possa colocar seu webserver, seu servidor de e-mail, etc...
Imagine que você quer ter um webserver na sua empresa, se alguem corromper a integridade dele e conseguir controlá-lo, vai ter acesso total a sua rede. Se você colocar o webserver na dmz o maximo que um invasor vai conseguir é tirar o seu site do ar, a LAN está protegida. Mas obviamente os seus usuários na LAN vão querer ver as paginas hospedadas no server dentro da DMZ por isso este tráfego é permitido.
É possivel acrescentar uma DMZ ao coyote sem ter que reconstruir o disco e sem ter que utilizar o gerador linux. Desde que você utilize placas PCI e a terceira placa use o mesmo driver que uma das outras duas (neste caso o driver já estaria presente no disquete, é só plugar a terceira placa que o coyote vai reconhecê-la como eth2). Basta acrescentar estas linhas no arquivo de configurações principais (/etc/coyote/coyote.conf)
DMZ_IPADDR=192.168.1.1
DMZ_NETMASK=255.255.255.0
DMZ_NETWORK=192.168.1.0
DMZ_BROADCAST=192.168.1.255
Claro que os numeros acima são só exemplos, eu estou partindo do principio que a sua rede principal é 192.168.0.x.
Todas as maquinas ligadas à esta placa teriam um ip na faixa 192.168.1.2 a 192.168.1.254.
Você não pode abrir uma conexão de uma maquina da DMZ para uma maquina na LAN, mas de uma maquina na LAN voce pode conectar uma maquina na DMZ. Se você quer independência total entre as duas redes é necessário incluir uma regra para isso na pagina firewall configuration, Eu estou longe do meu micro para poder escrever os detalhes aqui, mas deve ser fácil é só informar coisas tipo: Origem: Local Network, Destino: DMZ Network, Type: DENY.
É perfeitamente possivel configurar o coyote para fazer o portforward da internet para uma maquina na DMZ. Isso é óbvio, para que os usuários na internet tenham acesso ao seu server. Caso este server precise utilizar um servidor de banco-de-dados (que normalmente fica na lan) você precisa configurar um port forward cuja origem é o ip da dmz e o destino é o ip da maquina do banco na lan. Tudo isso está disponivel nas paginas do webadmin. Lembre-se que os port forwardings são o meio utilizados para criar furos nas regras default que eu listei acima.
Não falo mais neste assunto aqui, quem perguntar sobre DMZ daqui para frente eu vou mandar pesquisar.
eth2 - outra rede interna, sendo que:
eth2 enxergue eth1 e eth1 não enxergue eth2??
isto existe??? Esta é uma rede DMZ???? "
Sim.
A DMZ (Zona desmilitarizada) foi acrescenta no coyote com outra finalidade. Mas serve direitinho para isso que você está tentando fazer.
O unico detalhe é que as suas regras para quem-encherga-quem estão invertidas. O default é:
Da LAN (eth0) para a Internet (eth1) = Pode
Da Internet (eth1) para a LAN (eth0) = Não Pode
Da DMZ (eth2) para a Internet (eth1) = Pode
Da Internet (eth1) para a DMZ (eth0) = Não Pode
Da LAN (eth0) para a DMZ (eth2) = Pode
Da DMZ (eth2) para a LAN (eth0) = Não Pode
Porque?
O prósito da DMZ é criar um ambiente seguro onde você possa colocar seu webserver, seu servidor de e-mail, etc...
Imagine que você quer ter um webserver na sua empresa, se alguem corromper a integridade dele e conseguir controlá-lo, vai ter acesso total a sua rede. Se você colocar o webserver na dmz o maximo que um invasor vai conseguir é tirar o seu site do ar, a LAN está protegida. Mas obviamente os seus usuários na LAN vão querer ver as paginas hospedadas no server dentro da DMZ por isso este tráfego é permitido.
É possivel acrescentar uma DMZ ao coyote sem ter que reconstruir o disco e sem ter que utilizar o gerador linux. Desde que você utilize placas PCI e a terceira placa use o mesmo driver que uma das outras duas (neste caso o driver já estaria presente no disquete, é só plugar a terceira placa que o coyote vai reconhecê-la como eth2). Basta acrescentar estas linhas no arquivo de configurações principais (/etc/coyote/coyote.conf)
DMZ_IPADDR=192.168.1.1
DMZ_NETMASK=255.255.255.0
DMZ_NETWORK=192.168.1.0
DMZ_BROADCAST=192.168.1.255
Claro que os numeros acima são só exemplos, eu estou partindo do principio que a sua rede principal é 192.168.0.x.
Todas as maquinas ligadas à esta placa teriam um ip na faixa 192.168.1.2 a 192.168.1.254.
Você não pode abrir uma conexão de uma maquina da DMZ para uma maquina na LAN, mas de uma maquina na LAN voce pode conectar uma maquina na DMZ. Se você quer independência total entre as duas redes é necessário incluir uma regra para isso na pagina firewall configuration, Eu estou longe do meu micro para poder escrever os detalhes aqui, mas deve ser fácil é só informar coisas tipo: Origem: Local Network, Destino: DMZ Network, Type: DENY.
É perfeitamente possivel configurar o coyote para fazer o portforward da internet para uma maquina na DMZ. Isso é óbvio, para que os usuários na internet tenham acesso ao seu server. Caso este server precise utilizar um servidor de banco-de-dados (que normalmente fica na lan) você precisa configurar um port forward cuja origem é o ip da dmz e o destino é o ip da maquina do banco na lan. Tudo isso está disponivel nas paginas do webadmin. Lembre-se que os port forwardings são o meio utilizados para criar furos nas regras default que eu listei acima.
Não falo mais neste assunto aqui, quem perguntar sobre DMZ daqui para frente eu vou mandar pesquisar.
- Claudio Roberto Cussuol
Re: DMZ e Rede Interna
por publio » Seg Jan 10, 2005 5:52 pm
Ok, muito obrigado Claudio..
Muito claro!!!
\o/
Públio Gama
Muito claro!!!
\o/
Públio Gama
- publio
5 mensagens
• Página 1 de 1
Voltar para Fórum Coyote pt-br
Quem está online
Usuários navegando neste fórum: Nenhum usuário registrado e 21 visitantes