К списку форумов К списку вопросов
Корпоративный WEB сервер в DMZ с реальным IP?
holger
31.05.2004 - 12:13
Похожая ветка уже была, но есть пара вопросов.
Задача: организовать корпоративный WEB-сервер с доступом из локалки и и-нета на своих площадях. Как я себе это вижу:
 - локальная сеть 192.168.0.0 с сервером DNS 192.168.0.1
 - файрвол+NAT на границе CORP-DMZ с двумя интерфейсами 192.168.0.2 + реальный IP, например 213.213.213.1
 - WEB-сервер с адресом 213.213.213.2, DNS с адресом 213.213.213.3
 - файрвол на границе DMZ-INET с двумя интерфейсами 213.213.213.4
и 213.213.213.5
ИЛИ:
 - локальная сеть 192.168.0.0 с сервером DNS 192.168.0.1
 - файрвол на границе CORP-DMZ с двумя интерфейсами 192.168.0.2 + 192.168.0.3
 - WEB-сервер с адресом 192.168.0.3, DNS с адресом 192.168.0.4
 - файрвол+NAT на границе DMZ-INET с двумя интерфейсами 192.168.0.4 и реальным 213.213.213.1
Собственно вопросы:
Можно ли организовать всё средствами Win?
Какой из вариантов предпочтительней (если количества внешних IP хватает)?
Есть ли железки заточенные под такую задачу?
Ну, и общие советы хотелось-бы услышать.
Админ из Нижнего
1 - 31.05.2004 - 12:36
Я брал инфу от сюда но вопросов при разработка стало так много и на них редко кто отвечает
http://www.msfu.ru/~t-alex/Linux/IPCHAINS-HOWTO/ipchains07.htm#ip82
GhosT777
2 - 31.05.2004 - 12:48
железяку посмотри - zyxel prestige 128 L или что получше (cisco)
можно организовать 2-мя ISA server (возможно дешевле)
cv
3 - 31.05.2004 - 12:53
Во втором варианте не пойму зачем столько DNS, тем более все в одной подсети. Как правило на винде не делают такого, хотя можно на ней все сделать. Вообще винда как "красная" тряпка перед глазами тех, кто пытается сломать ее.
holger
4 - 31.05.2004 - 13:40
согласен, во втором варианте DNS действительно не нужен. Но что лучше? WEB сервер с локальным, или внешним ip? Доступ к нему нужен с обеих сторон. ISA сейчас стоит. Собственно на ней я бы и хотел всё сделать.
Cyber
5 - 31.05.2004 - 13:41
Мож можно взять сервак, постаяить туда ИСУ, воткнуть туды 3 сетевки: одна - в инет, одна - в локалку, одна - к серваку?
Или так: взять маленький хаб, к нему: внешний интерфейс от прокси, сервак и роутер, смотрящий в инет. Локалку - в проксю.
Или я туплю?
А вообще сабж можно замутить опять-таки теми же сиськами...
GhosT777
6 - 31.05.2004 - 14:25
все не так ;о)
2 исы
Инет -- ИСА1 -- хаб -- ИСА2 -- ЛАН
в хаб втыкается ВЭБ и проч. сервак на ИСА 1 публикуется, (для остальных, почта и прочю) делается правила протоколов
мороки никакой.
на ИСА1 закрывае5тся все кроме, на ИСА 2 - все
holger
7 - 31.05.2004 - 14:35
to 6:
Приблизительно так я и хочу:
Инет -- ИСА1 -- хаб -- ИСА2 -- ЛАН

             ВЕБсервер
но ВЕБсервер - с внутренним IP, или внешним?
holger
8 - 31.05.2004 - 14:36
В догонку Между "ВЕБсервер" и "хаб" чёрточка :)
GhosT777
9 - 31.05.2004 - 14:46
да без разницы, вэб прикрыт ИСА-ой, какие хочешь такие и ставь. проще внутренние. или вообще другие - не внутр, не внеш.
в хаб воткнуты ИСА1, ВЭБ, ИСА2 - это ДМЗ
GhosT777
10 - 31.05.2004 - 14:48
а почему другие? да проще трафиком рулить будет, проще показать где свои, где чуцжие, а где ничьи
т.е. Инет - 213.ххх.ххх.ххх
ЛАН - 192.168.ххх.ххх
ДМЗ - 10.ххх.ххх.ххх
в таком вот акцепте!
holger
11 - 31.05.2004 - 15:34
Спасибо!
Вот ещё вопрос: какого железа хватит на ИСА1 и ИСА2? Канал в и-нет 500кбит (в будущем 2мб), внутренних пользователей планируется до 100, траффик средний. Сейчас стоит обычный воркстейшн P4 1500Мгц с RAM 512MВ, подозреваю, что и для DMZ таких машин хватит. Так?
GhosT777
12 - 31.05.2004 - 15:49
у мя сел 750/256/80г - на ЭТОМ ИСА с 2 гиг кеш, Мдемон, САВ КЕ на 80 клиентов, 2 ВЭБ сервера (апач + ИИС) - летает!
Админ из Нижнего
13 - 01.06.2004 - 09:00
Еще как вариант вместо первой ИСЫ использовать Cisco PIX-515E-R-DMZ-BUN, ZyWALL 70W EE или 3Com® OfficeConnect® VPN Firewall.

К списку вопросов на форуме Сети

>>