/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Tvinge trafik gennem firewall fra intern s~
Fra : Romme


Dato : 14-09-04 12:55

Jeg har påtænkt følgende setup:

Inet. forbindelse -> Firewall -> Switch -> x antal servere

Firewall er en Cisco PIX 515 og køre idag i drift. Så der er anskaffet et
ekstra netkort til denne del.
Switch er ikke anskaffet endnu.

Jeg ønsker IKKE at serverne kan se/forbinde til hinanden uden, at gå over
firewallen.
Optimalt skal serverne konfigureres med en offentlig IP adresse.

Forslag til løsning af ovenstående modtages med glæde



 
 
Regnar Bang Lyngsø (14-09-2004)
Kommentar
Fra : Regnar Bang Lyngsø


Dato : 14-09-04 15:44

Hej

Romme wrote:

> Inet. forbindelse -> Firewall -> Switch -> x antal servere
>
> Firewall er en Cisco PIX 515 og køre idag i drift. Så der er anskaffet et
> ekstra netkort til denne del.
> Switch er ikke anskaffet endnu.

Du kunne kikke på Ciscos Isolated PVLAN
(<URL:http://www.cisco.com/warp/public/473/194.html>).

> Jeg ønsker IKKE at serverne kan se/forbinde til hinanden uden, at gå over
> firewallen.

For mig lyder det som et blæse-og-have-mel-i-munden projekt. En PIX
firewall kan ikke sende trafik ud på samme interface som den modtager
trafikken på. Du kan vælge at have en Lag2/3 eller Lag 3 switch stående
foran dine servere og så definere ACLer (Access Control Lists) på dine
interfaces. Hvis det er et DMZ-setup ville jeg personligt forsøge, at
designe det sådan, at serverne i DMZ ikke har brug for at snakke med
hinanden.

Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
forskellige serverøer (hvis du ikke har ret mange servere kan du
selvfølgelig lave et logisk interface pr. server på din PIX).

> Optimalt skal serverne konfigureres med en offentlig IP adresse.

Det typiske er at lave en nat til RFC1918-adresser, men selvfølgelig kan
du lave en static på dine globale adresser, hvis du vil.

Knus
Regnar

Martin Damberg (14-09-2004)
Kommentar
Fra : Martin Damberg


Dato : 14-09-04 16:07

"klip"
>
> Du kunne kikke på Ciscos Isolated PVLAN
> (<URL:http://www.cisco.com/warp/public/473/194.html>).
>
>
> For mig lyder det som et blæse-og-have-mel-i-munden projekt. En PIX
> firewall kan ikke sende trafik ud på samme interface som den modtager
> trafikken på. Du kan vælge at have en Lag2/3 eller Lag 3 switch stående
> foran dine servere og så definere ACLer (Access Control Lists) på dine
> interfaces. Hvis det er et DMZ-setup ville jeg personligt forsøge, at
> designe det sådan, at serverne i DMZ ikke har brug for at snakke med
> hinanden.
>
> Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
> forskellige serverøer (hvis du ikke har ret mange servere kan du
> selvfølgelig lave et logisk interface pr. server på din PIX).
"klip"
Er PIXen ikke begrænser til at kunne håntere antal vlans ? mener at 515 kun
kan
håntere 10 vlans, så der er også en begrænsning

>
> Det typiske er at lave en nat til RFC1918-adresser, men selvfølgelig kan
> du lave en static på dine globale adresser, hvis du vil.
>
> Knus
> Regnar

mvh

Martin Damberg



Regnar Bang Lyngsø (14-09-2004)
Kommentar
Fra : Regnar Bang Lyngsø


Dato : 14-09-04 17:01

Martin Damberg wrote:

>>Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
>>forskellige serverøer (hvis du ikke har ret mange servere kan du
>>selvfølgelig lave et logisk interface pr. server på din PIX).
>
> "klip"
> Er PIXen ikke begrænser til at kunne håntere antal vlans ? mener at 515 kun
> kan
> håntere 10 vlans, så der er også en begrænsning

Jo begrænsningen er maksimalt 10 interfaces, 6 fysiske og 8 logiske
(fysiske interfaces kan VLAN tagges)- og derfor er det heller ikke nogen
god ide - men hvis man kun har en 3-4 servere *kan* man jo gøre det.


Knus
Regnar

Romme (14-09-2004)
Kommentar
Fra : Romme


Dato : 14-09-04 17:47

Hejsa

Der skulle gerne kunne sættes flere servere op end 3-4 stykker.
Pt har jeg minimum 20-25 stykker i udsigte.

/Romme



"Regnar Bang Lyngsø" <regnar@writeme.com> wrote in message
news:414715b2$0$208$14726298@news.sunsite.dk...
> Martin Damberg wrote:
>
> >>Du kan også vælge at bruge 802.1Q-understøttelsen i PIXen til at lave
> >>forskellige serverøer (hvis du ikke har ret mange servere kan du
> >>selvfølgelig lave et logisk interface pr. server på din PIX).
> >
> > "klip"
> > Er PIXen ikke begrænser til at kunne håntere antal vlans ? mener at 515
kun
> > kan
> > håntere 10 vlans, så der er også en begrænsning
>
> Jo begrænsningen er maksimalt 10 interfaces, 6 fysiske og 8 logiske
> (fysiske interfaces kan VLAN tagges)- og derfor er det heller ikke nogen
> god ide - men hvis man kun har en 3-4 servere *kan* man jo gøre det.
>
>
> Knus
> Regnar



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste