por Claudio Roberto Cussuol » Seg Jan 10, 2005 3:52 pm
"eth1 - pppoe
eth2 - outra rede interna, sendo que:
eth2 enxergue eth1 e eth1 não enxergue eth2??
isto existe??? Esta é uma rede DMZ???? "
Sim.
A DMZ (Zona desmilitarizada) foi acrescenta no coyote com outra finalidade. Mas serve direitinho para isso que você está tentando fazer.
O unico detalhe é que as suas regras para quem-encherga-quem estão invertidas. O default é:
Da LAN (eth0) para a Internet (eth1) = Pode
Da Internet (eth1) para a LAN (eth0) = Não Pode
Da DMZ (eth2) para a Internet (eth1) = Pode
Da Internet (eth1) para a DMZ (eth0) = Não Pode
Da LAN (eth0) para a DMZ (eth2) = Pode
Da DMZ (eth2) para a LAN (eth0) = Não Pode
Porque?
O prósito da DMZ é criar um ambiente seguro onde você possa colocar seu webserver, seu servidor de e-mail, etc...
Imagine que você quer ter um webserver na sua empresa, se alguem corromper a integridade dele e conseguir controlá-lo, vai ter acesso total a sua rede. Se você colocar o webserver na dmz o maximo que um invasor vai conseguir é tirar o seu site do ar, a LAN está protegida. Mas obviamente os seus usuários na LAN vão querer ver as paginas hospedadas no server dentro da DMZ por isso este tráfego é permitido.
É possivel acrescentar uma DMZ ao coyote sem ter que reconstruir o disco e sem ter que utilizar o gerador linux. Desde que você utilize placas PCI e a terceira placa use o mesmo driver que uma das outras duas (neste caso o driver já estaria presente no disquete, é só plugar a terceira placa que o coyote vai reconhecê-la como eth2). Basta acrescentar estas linhas no arquivo de configurações principais (/etc/coyote/coyote.conf)
DMZ_IPADDR=192.168.1.1
DMZ_NETMASK=255.255.255.0
DMZ_NETWORK=192.168.1.0
DMZ_BROADCAST=192.168.1.255
Claro que os numeros acima são só exemplos, eu estou partindo do principio que a sua rede principal é 192.168.0.x.
Todas as maquinas ligadas à esta placa teriam um ip na faixa 192.168.1.2 a 192.168.1.254.
Você não pode abrir uma conexão de uma maquina da DMZ para uma maquina na LAN, mas de uma maquina na LAN voce pode conectar uma maquina na DMZ. Se você quer independência total entre as duas redes é necessário incluir uma regra para isso na pagina firewall configuration, Eu estou longe do meu micro para poder escrever os detalhes aqui, mas deve ser fácil é só informar coisas tipo: Origem: Local Network, Destino: DMZ Network, Type: DENY.
É perfeitamente possivel configurar o coyote para fazer o portforward da internet para uma maquina na DMZ. Isso é óbvio, para que os usuários na internet tenham acesso ao seu server. Caso este server precise utilizar um servidor de banco-de-dados (que normalmente fica na lan) você precisa configurar um port forward cuja origem é o ip da dmz e o destino é o ip da maquina do banco na lan. Tudo isso está disponivel nas paginas do webadmin. Lembre-se que os port forwardings são o meio utilizados para criar furos nas regras default que eu listei acima.
Não falo mais neste assunto aqui, quem perguntar sobre DMZ daqui para frente eu vou mandar pesquisar.