Jump to content

static NAT / DMZ Zone / private network


serpico75
 Share

Recommended Posts

Έχουμε το παρακάτω δίκτυο:

 

nat-static-part1-3.thumb.gif.7e4e0fa9cf8f142dc93778b820fac699.gif

 

Ήθελα να ρωτήσω με δεδομένο ότι αναφέρομαι σε static NAT...

 

Ποιός ο ρόλος ύπαρξης τού Firewall No 2?

 

Αυτό που θα μπορούσα να υποθέσω είναι:

 

α. για μεγαλύτερη ασφάλεια και

 

β. διότι με αυτόν τον τρόπο δεν χρειάζονται πολλές static IPs, όσον αφορά στο private δίκτυο 192.168.0.0. Εάν δεν υπήρχε το firewall no 2, θα έπρεπε για κάθε IP τού 192.168.0.0 (για κάθε host), να υπάρχει μία static IP. Ενώ, έτσι όπως είναι το σχεδιάγραμμα, κάθε IP τού 192.168.0.0 φτάνει στο Firewall No 2, εκεί γίνεται η εναλλαγή σαν source το 192.168.200.2 (και η καταχώρησή του στο NAT table firewall No 2), και, λόγω τού ότι υπάρχει μία static IP για την 192.168.200.2 (που είναι στο NAT table τού Firewall No 1 και είναι η 192.168.200.2=203.31.218.5), εκεί γίνεται η δεύτερη εναλλαγή, πριν το πακέτο κάποιου host από το private network βγεί στο διαδίκτυο. Για να βγει, λοιπόν, ένα πακέτο στο διαδίκτυο από κάποιο host τού private δικτύου 192.168.0.0, περνάει από δύο source IP εναλλαγές. Μία από κάθε firewall. Σωστά;

 

Link to comment
Share on other sites

Αααααααα γειά σου, trendy. Και γω εκεί κατέληγα.

 

Και έσπαγα το κεφάλι μου για το λόγω ύπαρξης τού no2. Στον περιττό λόγω ύπαρξης τού no2. Ένα μόνο firewall θα μπορούσε να κάνει όλη τη δουλειά.
 

Χρυσή η απάντηση. Για να λύσω την σπαζοκεφαλιά !!

 

Thanks a lot !!

 

υ.γ. Να δώσω σαν στοιχείο πως το πρόβλημα αναφέρει πως σε περίπτωση που το DMZ πέσει/χαραριστεί κ.λπ., σε μία τέτοια περίπτωση, δεν θα τεθεί σε επικινδυνότητα το private δίκτυο. Δεν ξέρω. Ίσως για αυτό το no2. Πάντως, εάν το DMZ πάθαινε ζημιά, ίσως πάλι μόνο ένα fw να τα έβγαζε πέρα. Αυτό δεν το ξέρω. Η άποψή μου είναι πως και πάλι μόνο ο No1 αρκούσε.

Edited by serpico75
Link to comment
Share on other sites

Άσχετα από την απάντηση (που ήταν gold !! ), αυτό που είπα είναι σωστό:πως, δηλαδή, με βάση το σχεδιάγραμμα, από το private δίκτυο, για να βγει ένα πακέτο στο internet, γίνεται διπλή εναλλαγή source IP?

Edited by serpico75
Link to comment
Share on other sites

Ακόμα κι αν κάποιος χακάρει το DMZ, το private δίκτυο έχει μεγαλύτερο security level από το DMZ, άρα το fw1 δεν επιτρέπει την κίνηση προς το private.
Και ναι για να βγει κάποιος από το private στο internet θα θέλει 2 φορές NAT.

  • Agree 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...