Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: FKoudelka 03. 02. 2022, 13:55:12
-
DMZ s veřejnými adresami vs DMZ s privátními staticky NATovanými adresami...
Co z toho preferujete a proč ?
Dík
-
DMZ s veřejnými, protože ipv6, protože NAT se musí složitě udržovat a stojí hodně zdrojů v HW, některé protokoly jsou s tím prostě problematické, bezpečnost neřeší a jen komplikuje přehlednost.
Ve velkých firmách hojně funguje privátní DMZ a přístup ven pouze přes proxy server, tím se vyhneš NATům a máš provoz centralizovaný.
-
DMZ s veřejnými adresami vs DMZ s privátními staticky NATovanými adresami...
Co z toho preferujete a proč ?
Dík
Dodávám ... jen IPv4
-
DMZ s veřejnými adresami vs DMZ s privátními staticky NATovanými adresami...
Co z toho preferujete a proč ?
Dík
Dodávám ... jen IPv4
Ak mate dostatok ipv4, tak urcite bez snat.
Preto, ze snat vam neposkytne nic naviac, len to ze obide nedostatok ip adries pre sluzby ktore potrebujete publikovat.
Ak nemate dostatok ipv4, tak na vyber moc nemate
-
pokud není dostatek ipv4, hodně pomůže přejít na ipv6, ocení to uživatelé a je to investice do budoucna.
Jak píše Death Walker, NAT nedává smysl pokud máš jinou možnost.
-
Jak píšou ostatní, NAT je obezlička pro případ, když nemáte jinou možnost. NAT vám nikdy nepřinese nějakou přidanou hodnotu, může něco akorát rozbít. Takže když nemusíte NAT použít a máte veřejné IP adresy, použijte je.
-
Záleží na tom, jestli adresy jsou routované jako celý blok (obvyklý případ u IPv6, u IPv4 už méně) nebo "on-link".
Pokud jsou z pohledu routeru "on-link" (např. gateway má adresu 192.0.2.1/29, a klient používá 192.0.2.2 až 192.0.2.6), tak nezbývá než 1:1 NAT (nebo zhůvěřilosti s Proxy ARP).
Pokud máte routovaný menší blok, např. gateway 192.0.2.1/30, router 192.0.2.2/30, routovaný blok 192.0.2.4/30 (jen 4 adresy), tak pro ušetření adres dává smysl interní DMZ adresovat na privátních IPv4 adresách (např. router DMZ 10.255.1.1/24, server1 10.255.1.2/24), a routovat IPv4 adresy s maskou /32 na konkrétní privátní IP (např. 192.0.2.4 via 10.255.1.2) a na serveru mít /32 na dummy rozhraní.
Dá se vymyslet i kombinace, kdy IPv4 budete routovat jako /32 adresy a pro IPv6 se na DMZ interface na routeru přiřadí standardní /64.
-
No právě že pro tu DMZ máme další, odlišný rozsah 16 veřejných IP. Jde mi hlavně o to, který přístup je bezpečnější. To jsem zapomněl v otázce zdůraznit.
-
No právě že pro tu DMZ máme další, odlišný rozsah 16 veřejných IP. Jde mi hlavně o to, který přístup je bezpečnější. To jsem zapomněl v otázce zdůraznit.
Pak otázka úplně postrádá smysl. NAT s bezpečností nijak nesouvisí.
Jinak z hlediska funkčnosti je samozřejmě lepší mít v DMZ veřejné adresy.
-
No právě že pro tu DMZ máme další, odlišný rozsah 16 veřejných IP. Jde mi hlavně o to, který přístup je bezpečnější. To jsem zapomněl v otázce zdůraznit.
Tak ak vam pokryju pocet servrov nie je co riesit.
Tie sluzby publikujete tak ci tak, nie je podstatne ci cez jednu ip alebo viacero ip.
Ohladne bezpecnosti je to skor diskutovane v suvislosti s maskaradou, ta ale riesi nieco ine ako snat (bez ohladu na to ze mozu byt pouzite subezne)
-
Tie sluzby publikujete tak ci tak, nie je podstatne ci cez jednu ip alebo viacero ip.
To právě nemusí být pravda - v případě, že potřebujete (plácnu) 4 servery DNS, tak je asi budete těžko poskytovat na jedné adrese, když je všechny potřebujete na portu 53. Tohle právě řeší IPv6, kdy s takovými kravinami není třeba ztrácet čas.
-
Tie sluzby publikujete tak ci tak, nie je podstatne ci cez jednu ip alebo viacero ip.
To právě nemusí být pravda - v případě, že potřebujete (plácnu) 4 servery DNS, tak je asi budete těžko poskytovat na jedné adrese, když je všechny potřebujete na portu 53. Tohle právě řeší IPv6, kdy s takovými kravinami není třeba ztrácet čas.
Jasně, ale předpokládám Static NAT 1:1. Leze to ze mne jak z chlupatý deky, co ?
Apropos , nechtěl jsem ovlivňovat respondenty, ale teď už přiznám, že jsem přesvědčen, že ten NAT , který je mi nucen , je v naší situaci totální kravina.
-
Pokud máte routované adresy, tak static NAT nemá vůbec žádný smysl.
-
Ve velkých firmách hojně funguje privátní DMZ...
Co je „privátní DMZ“? Nedává mi to smysl.
-
Ve velkých firmách hojně funguje privátní DMZ...
Co je „privátní DMZ“? Nedává mi to smysl.
DMZ v rámci Inside - servery pro vnitřní potřeby organizace, které nemají komunikovat s Outside, maximálně se stroji v DMZ v omezeném režimu (mohou poskytovat omezený přístup k datům). Třeba firemní fileserver, printserver, DHCP apod.
-
Co je „privátní DMZ“? Nedává mi to smysl.
DMZ v rámci Inside - servery pro vnitřní potřeby organizace, které nemají komunikovat s Outside, maximálně se stroji v DMZ v omezeném režimu (mohou poskytovat omezený přístup k datům). Třeba firemní fileserver, printserver, DHCP apod.
Proč potom nejsou ty servery v části vnitřní sítě mimo DMZ? To pak tu DMZ vůbec nemusím dělat, když stejně musím řešit, která zařízení v ní jsou a která nejsou přístupná zvenku.
-
Co je „privátní DMZ“? Nedává mi to smysl.
DMZ v rámci Inside - servery pro vnitřní potřeby organizace, které nemají komunikovat s Outside, maximálně se stroji v DMZ v omezeném režimu (mohou poskytovat omezený přístup k datům). Třeba firemní fileserver, printserver, DHCP apod.
Proč potom nejsou ty servery v části vnitřní sítě mimo DMZ? To pak tu DMZ vůbec nemusím dělat, když stejně musím řešit, která zařízení v ní jsou a která nejsou přístupná zvenku.
Však sítě nejsou ploché, DMZ (ok, říkejme tomu uzavřená podsíť s centralizovaným přístupem) mohou být do sebe zanořené. Termínem privátní DMZ jsem měl na mysli skutečnost, že samotní uživatelé jsou uzavřeni ve vlastní chránce, tak aby od nich a ani na ně mohly být páchány nekalosti bez dohledu.
-
Co je „privátní DMZ“? Nedává mi to smysl.
DMZ v rámci Inside - servery pro vnitřní potřeby organizace, které nemají komunikovat s Outside, maximálně se stroji v DMZ v omezeném režimu (mohou poskytovat omezený přístup k datům). Třeba firemní fileserver, printserver, DHCP apod.
Proč potom nejsou ty servery v části vnitřní sítě mimo DMZ? To pak tu DMZ vůbec nemusím dělat, když stejně musím řešit, která zařízení v ní jsou a která nejsou přístupná zvenku.
Však sítě nejsou ploché, DMZ (ok, říkejme tomu uzavřená podsíť s centralizovaným přístupem) mohou být do sebe zanořené. Termínem privátní DMZ jsem měl na mysli skutečnost, že samotní uživatelé jsou uzavřeni ve vlastní chránce, tak aby od nich a ani na ně mohly být páchány nekalosti bez dohledu.
Tomuhle by asi bylo lepší říkat VLAN