Server esposti, Nat 1:1?



  • Ciao a tutti

    c'e' qualcuno disposto ad aiutarmi a darmi un indicazione per un ambiente cosi strutturato?

    ISP con 6 indirizzi disp. 80.0.0.0/29
    LAN 192.168.0.0/24
    gw pfSENSE 1.2 int 192.168.0.254 ext 80.0.0.3 (hacom con 4 schede di rete)
    router ADSL USRobotics 80.0.0.2

    funziona tutto regolarmente e vorrei completare la configurazione esponendo pubblicamente due server che ho sulla lan
    per motivi di praticita' ho abbandonato l'idea della DMZ, ma non e' detto che ritorni a considerarla.

    I due server devono essere raggiunti sia dalla lan con tutti i servizi che dall'esterno con i medesimi servizi (sono server sia di produzione che di test)

    come procedere?

    nat 1:1 del server ad es
    int 192.168.0.90/32 ext 80.0.0.4/32

    e' sufficiente?

    cosa devo considerare per il corretto instradamento delle richieste che vengono dalla lan per il server e per fare in modo che il server non venga bloccato dal FW per le richieste che arrivano dall'esterno verso l'interno?

    spero di essere stato sufficientemente chiaro e grazie in anticipo



  • @brainout:

    funziona tutto regolarmente e vorrei completare la configurazione esponendo pubblicamente due server che ho sulla lan
    per motivi di praticita' ho abbandonato l'idea della DMZ, ma non e' detto che ritorni a considerarla.

    la dmz serve proprio nelle situazioni come la tua, in cui devi esporre dei servizi all'esterno ma vuoi comunque proteggere la tua LAN per non rischiare di compromettere tutto il resto, visto che poi hai quattro schede di rete e da quanto sembra ne usi solo 2 (LAN e WAN) è un peccato non usare le altre, no?

    @brainout:

    I due server devono essere raggiunti sia dalla lan con tutti i servizi che dall'esterno con i medesimi servizi (sono server sia di produzione che di test)

    se posso, di che servizi si tratta? se è un server web, è inutile il nat 1:1, è meglio fare il port forwarding delle porte che ti occorrono veramente, tipo 80 e 443.

    ciao!



  • @bruno:

    @brainout:

    funziona tutto regolarmente e vorrei completare la configurazione esponendo pubblicamente due server che ho sulla lan
    per motivi di praticita' ho abbandonato l'idea della DMZ, ma non e' detto che ritorni a considerarla.

    la dmz serve proprio nelle situazioni come la tua, in cui devi esporre dei servizi all'esterno ma vuoi comunque proteggere la tua LAN per non rischiare di compromettere tutto il resto, visto che poi hai quattro schede di rete e da quanto sembra ne usi solo 2 (LAN e WAN) è un peccato non usare le altre, no?

    sono d'accordo con te, ma proprio nella documentazione di monowall, a cui si riferisce pfsense, ho notato una postilla, ma e' possibile che non abbia ben capito (dato il mio scarso livello di conoscenza dell'inglese), dove sostiene che un server esposto in dmz che in qualche modo comunichi con la lan e' unless inutile.

    Concettualmente comprendo questa filosofia, se lasci aperto anche solo una delle 65000 porte l'attacco passa da li

    magari le altre due porte le dedico ad un load balance

    @brainout:

    I due server devono essere raggiunti sia dalla lan con tutti i servizi che dall'esterno con i medesimi servizi (sono server sia di produzione che di test)

    se posso, di che servizi si tratta? se è un server web, è inutile il nat 1:1, è meglio fare il port forwarding delle porte che ti occorrono veramente, tipo 80 e 443.

    un server e' un DNS secondario, relay di posta secondario ed altri servizi "di back up" vari,
    l'altro server e' un application server che puo' tranquillamente avere aperto solo la 80 come dici giustamente tu

    ciao!

    PS il dato che mi manca per la soluzione al mio problema era la configurazione del virtual Ip.
    Credevo che tale opzione fosse riferita solo ai casi in cui non si ha a disposizione IP Pubblici reali, invece ora, avendo configurato la sezione virtual ip, funziona tutto come un orologio svizzero


Locked