Jump to content



static NAT / DMZ Zone / private network

serpico75

Από serpico75
In Δίκτυα

 Κοινοποίηση

Recommended Posts

serpico75 Rising Star

serpico75

Δημοσιεύτηκε
Δημοσιεύτηκε

Έχουμε το παρακάτω δίκτυο:

 

nat-static-part1-3.thumb.gif.7e4e0fa9cf8f142dc93778b820fac699.gif

 

Ήθελα να ρωτήσω με δεδομένο ότι αναφέρομαι σε static NAT...

 

Ποιός ο ρόλος ύπαρξης τού Firewall No 2?

 

Αυτό που θα μπορούσα να υποθέσω είναι:

 

α. για μεγαλύτερη ασφάλεια και

 

β. διότι με αυτόν τον τρόπο δεν χρειάζονται πολλές static IPs, όσον αφορά στο private δίκτυο 192.168.0.0. Εάν δεν υπήρχε το firewall no 2, θα έπρεπε για κάθε IP τού 192.168.0.0 (για κάθε host), να υπάρχει μία static IP. Ενώ, έτσι όπως είναι το σχεδιάγραμμα, κάθε IP τού 192.168.0.0 φτάνει στο Firewall No 2, εκεί γίνεται η εναλλαγή σαν source το 192.168.200.2 (και η καταχώρησή του στο NAT table firewall No 2), και, λόγω τού ότι υπάρχει μία static IP για την 192.168.200.2 (που είναι στο NAT table τού Firewall No 1 και είναι η 192.168.200.2=203.31.218.5), εκεί γίνεται η δεύτερη εναλλαγή, πριν το πακέτο κάποιου host από το private network βγεί στο διαδίκτυο. Για να βγει, λοιπόν, ένα πακέτο στο διαδίκτυο από κάποιο host τού private δικτύου 192.168.0.0, περνάει από δύο source IP εναλλαγές. Μία από κάθε firewall. Σωστά;

 

Link to comment
Share on other sites
serpico75 Rising Star

serpico75

  • Author
  •  #3
(edited)

Αααααααα γειά σου, trendy. Και γω εκεί κατέληγα.

 

Και έσπαγα το κεφάλι μου για το λόγω ύπαρξης τού no2. Στον περιττό λόγω ύπαρξης τού no2. Ένα μόνο firewall θα μπορούσε να κάνει όλη τη δουλειά.
 

Χρυσή η απάντηση. Για να λύσω την σπαζοκεφαλιά !!

 

Thanks a lot !!

 

υ.γ. Να δώσω σαν στοιχείο πως το πρόβλημα αναφέρει πως σε περίπτωση που το DMZ πέσει/χαραριστεί κ.λπ., σε μία τέτοια περίπτωση, δεν θα τεθεί σε επικινδυνότητα το private δίκτυο. Δεν ξέρω. Ίσως για αυτό το no2. Πάντως, εάν το DMZ πάθαινε ζημιά, ίσως πάλι μόνο ένα fw να τα έβγαζε πέρα. Αυτό δεν το ξέρω. Η άποψή μου είναι πως και πάλι μόνο ο No1 αρκούσε.

Έγινε επεξεργασία από serpico75
Link to comment
Share on other sites
serpico75 Rising Star

serpico75

  • Author
  •  #4
(edited)

Άσχετα από την απάντηση (που ήταν gold !! ), αυτό που είπα είναι σωστό:πως, δηλαδή, με βάση το σχεδιάγραμμα, από το private δίκτυο, για να βγει ένα πακέτο στο internet, γίνεται διπλή εναλλαγή source IP?

Έγινε επεξεργασία από serpico75
Link to comment
Share on other sites
trendy Community Regular

trendy

Ακόμα κι αν κάποιος χακάρει το DMZ, το private δίκτυο έχει μεγαλύτερο security level από το DMZ, άρα το fw1 δεν επιτρέπει την κίνηση προς το private.
Και ναι για να βγει κάποιος από το private στο internet θα θέλει 2 φορές NAT.

  • Agree 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Κοινοποίηση
Λίστα θεμάτων
×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.