![]() |
![]() |
holger 31.05.2004 - 12:13 |
Похожая ветка уже была, но есть пара вопросов. Задача: организовать корпоративный WEB-сервер с доступом из локалки и и-нета на своих площадях. Как я себе это вижу: - локальная сеть 192.168.0.0 с сервером DNS 192.168.0.1 - файрвол+NAT на границе CORP-DMZ с двумя интерфейсами 192.168.0.2 + реальный IP, например 213.213.213.1 - WEB-сервер с адресом 213.213.213.2, DNS с адресом 213.213.213.3 - файрвол на границе DMZ-INET с двумя интерфейсами 213.213.213.4 и 213.213.213.5 ИЛИ: - локальная сеть 192.168.0.0 с сервером DNS 192.168.0.1 - файрвол на границе CORP-DMZ с двумя интерфейсами 192.168.0.2 + 192.168.0.3 - WEB-сервер с адресом 192.168.0.3, DNS с адресом 192.168.0.4 - файрвол+NAT на границе DMZ-INET с двумя интерфейсами 192.168.0.4 и реальным 213.213.213.1 Собственно вопросы: Можно ли организовать всё средствами Win? Какой из вариантов предпочтительней (если количества внешних IP хватает)? Есть ли железки заточенные под такую задачу? Ну, и общие советы хотелось-бы услышать. |
Админ из Нижнего 1 - 31.05.2004 - 12:36 |
Я брал инфу от сюда но вопросов при разработка стало так много и на них редко кто отвечает http://www.msfu.ru/~t-alex/Linux/IPCHAINS-HOWTO/ipchains07.htm#ip82 |
GhosT777 2 - 31.05.2004 - 12:48 |
железяку посмотри - zyxel prestige 128 L или что получше (cisco) можно организовать 2-мя ISA server (возможно дешевле) |
cv 3 - 31.05.2004 - 12:53 | Во втором варианте не пойму зачем столько DNS, тем более все в одной подсети. Как правило на винде не делают такого, хотя можно на ней все сделать. Вообще винда как "красная" тряпка перед глазами тех, кто пытается сломать ее. |
holger 4 - 31.05.2004 - 13:40 | согласен, во втором варианте DNS действительно не нужен. Но что лучше? WEB сервер с локальным, или внешним ip? Доступ к нему нужен с обеих сторон. ISA сейчас стоит. Собственно на ней я бы и хотел всё сделать. |
Cyber 5 - 31.05.2004 - 13:41 |
Мож можно взять сервак, постаяить туда ИСУ, воткнуть туды 3 сетевки: одна - в инет, одна - в локалку, одна - к серваку? Или так: взять маленький хаб, к нему: внешний интерфейс от прокси, сервак и роутер, смотрящий в инет. Локалку - в проксю. Или я туплю? А вообще сабж можно замутить опять-таки теми же сиськами... |
GhosT777 6 - 31.05.2004 - 14:25 |
все не так ;о) 2 исы Инет -- ИСА1 -- хаб -- ИСА2 -- ЛАН в хаб втыкается ВЭБ и проч. сервак на ИСА 1 публикуется, (для остальных, почта и прочю) делается правила протоколов мороки никакой. на ИСА1 закрывае5тся все кроме, на ИСА 2 - все |
holger 7 - 31.05.2004 - 14:35 |
to 6: Приблизительно так я и хочу: Инет -- ИСА1 -- хаб -- ИСА2 -- ЛАН ВЕБсервер но ВЕБсервер - с внутренним IP, или внешним? |
holger 8 - 31.05.2004 - 14:36 | В догонку Между "ВЕБсервер" и "хаб" чёрточка :) |
GhosT777 9 - 31.05.2004 - 14:46 |
да без разницы, вэб прикрыт ИСА-ой, какие хочешь такие и ставь. проще внутренние. или вообще другие - не внутр, не внеш. в хаб воткнуты ИСА1, ВЭБ, ИСА2 - это ДМЗ |
GhosT777 10 - 31.05.2004 - 14:48 |
а почему другие? да проще трафиком рулить будет, проще показать где свои, где чуцжие, а где ничьи т.е. Инет - 213.ххх.ххх.ххх ЛАН - 192.168.ххх.ххх ДМЗ - 10.ххх.ххх.ххх в таком вот акцепте! |
holger 11 - 31.05.2004 - 15:34 |
Спасибо! Вот ещё вопрос: какого железа хватит на ИСА1 и ИСА2? Канал в и-нет 500кбит (в будущем 2мб), внутренних пользователей планируется до 100, траффик средний. Сейчас стоит обычный воркстейшн P4 1500Мгц с RAM 512MВ, подозреваю, что и для DMZ таких машин хватит. Так? |
GhosT777 12 - 31.05.2004 - 15:49 | у мя сел 750/256/80г - на ЭТОМ ИСА с 2 гиг кеш, Мдемон, САВ КЕ на 80 клиентов, 2 ВЭБ сервера (апач + ИИС) - летает! |
Админ из Нижнего 13 - 01.06.2004 - 09:00 | Еще как вариант вместо первой ИСЫ использовать Cisco PIX-515E-R-DMZ-BUN, ZyWALL 70W EE или 3Com® OfficeConnect® VPN Firewall. |