Kandu.dk - Tvinge trafik gennem firewall fra intern switch


/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

TCP/IP

#	Navn	Point
1	Per.Frede..	4668
2	BjarneD	4017
3	severino	2804
4	pallebhan..	1680
5	EXTERMINA..	1525
6	xou	1455
7	strarup	1430
8	Manse9933	1419
9	o.v.n.	1400
10	Fijala	1204

Tvinge trafik gennem firewall fra intern s~
Fra : Romme

Dato : 14-09-04 12:55

Jeg har påtænkt følgende setup:

Inet. forbindelse -> Firewall -> Switch -> x antal servere

Firewall er en Cisco PIX 515 og køre idag i drift. Så der er anskaffet et
ekstra netkort til denne del.
Switch er ikke anskaffet endnu.

Jeg ønsker IKKE at serverne kan se/forbinde til hinanden uden, at gå over
firewallen.
Optimalt skal serverne konfigureres med en offentlig IP adresse.

Forslag til løsning af ovenstående modtages med glæde Glad

Regnar Bang Lyngsø (14-09-2004)

Kommentar
Fra : Regnar Bang Lyngsø

Dato : 14-09-04 15:44

Hej

Romme wrote:

> Inet. forbindelse -> Firewall -> Switch -> x antal servere
>
> Firewall er en Cisco PIX 515 og køre idag i drift. Så der er anskaffet et
> ekstra netkort til denne del.
> Switch er ikke anskaffet endnu.

Du kunne kikke på Ciscos Isolated PVLAN
(<URL:http://www.cisco.com/warp/public/473/194.html>).

> Jeg ønsker IKKE at serverne kan se/forbinde til hinanden uden, at gå over
> firewallen.

For mig lyder det som et blæse-og-have-mel-i-munden projekt. En PIX
firewall kan ikke sende trafik ud på samme interface som den modtager
trafikken på. Du kan vælge at have en Lag2/3 eller Lag 3 switch stående
foran dine servere og så definere ACLer (Access Control Lists) på dine
interfaces. Hvis det er et DMZ-setup ville jeg personligt forsøge, at
designe det sådan, at serverne i DMZ ikke har brug for at snakke med
hinanden.

Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
forskellige serverøer (hvis du ikke har ret mange servere kan du
selvfølgelig lave et logisk interface pr. server på din PIX).

> Optimalt skal serverne konfigureres med en offentlig IP adresse.

Det typiske er at lave en nat til RFC1918-adresser, men selvfølgelig kan
du lave en static på dine globale adresser, hvis du vil.

Knus
Regnar

Martin Damberg (14-09-2004)

Kommentar
Fra : Martin Damberg

Dato : 14-09-04 16:07

"klip"
>
> Du kunne kikke på Ciscos Isolated PVLAN
> (<URL:http://www.cisco.com/warp/public/473/194.html>).
>
>
> For mig lyder det som et blæse-og-have-mel-i-munden projekt. En PIX
> firewall kan ikke sende trafik ud på samme interface som den modtager
> trafikken på. Du kan vælge at have en Lag2/3 eller Lag 3 switch stående
> foran dine servere og så definere ACLer (Access Control Lists) på dine
> interfaces. Hvis det er et DMZ-setup ville jeg personligt forsøge, at
> designe det sådan, at serverne i DMZ ikke har brug for at snakke med
> hinanden.
>
> Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
> forskellige serverøer (hvis du ikke har ret mange servere kan du
> selvfølgelig lave et logisk interface pr. server på din PIX).
"klip"
Er PIXen ikke begrænser til at kunne håntere antal vlans ? mener at 515 kun
kan
håntere 10 vlans, så der er også en begrænsning

>
> Det typiske er at lave en nat til RFC1918-adresser, men selvfølgelig kan
> du lave en static på dine globale adresser, hvis du vil.
>
> Knus
> Regnar

mvh

Martin Damberg

Regnar Bang Lyngsø (14-09-2004)

Kommentar
Fra : Regnar Bang Lyngsø

Dato : 14-09-04 17:01

Martin Damberg wrote:

>>Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
>>forskellige serverøer (hvis du ikke har ret mange servere kan du
>>selvfølgelig lave et logisk interface pr. server på din PIX).
>
> "klip"
> Er PIXen ikke begrænser til at kunne håntere antal vlans ? mener at 515 kun
> kan
> håntere 10 vlans, så der er også en begrænsning

Jo begrænsningen er maksimalt 10 interfaces, 6 fysiske og 8 logiske
(fysiske interfaces kan VLAN tagges)- og derfor er det heller ikke nogen
god ide - men hvis man kun har en 3-4 servere *kan* man jo gøre det.

Knus
Regnar

Romme (14-09-2004)

Kommentar
Fra : Romme

Dato : 14-09-04 17:47

Hejsa

Der skulle gerne kunne sættes flere servere op end 3-4 stykker.
Pt har jeg minimum 20-25 stykker i udsigte.

/Romme

"Regnar Bang Lyngsø" <regnar@writeme.com> wrote in message
news:414715b2$0$208$14726298@news.sunsite.dk...
> Martin Damberg wrote:
>
> >>Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
> >>forskellige serverøer (hvis du ikke har ret mange servere kan du
> >>selvfølgelig lave et logisk interface pr. server på din PIX).
> >
> > "klip"
> > Er PIXen ikke begrænser til at kunne håntere antal vlans ? mener at 515
kun
> > kan
> > håntere 10 vlans, så der er også en begrænsning
>
> Jo begrænsningen er maksimalt 10 interfaces, 6 fysiske og 8 logiske
> (fysiske interfaces kan VLAN tagges)- og derfor er det heller ikke nogen
> god ide - men hvis man kun har en 3-4 servere *kan* man jo gøre det.
>
>
> Knus
> Regnar

Søg

Reklame

Statistik

Spørgsmål :	177552
Tips :	31968
Nyheder :	719565
Indlæg :	6408847
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste