DMZ s veřejnými nebo s privátními adresami

DMZ s veřejnými nebo s privátními adresami
« kdy: 03. 02. 2022, 13:55:12 »
DMZ s veřejnými adresami vs DMZ s privátními staticky NATovanými adresami...
Co z toho preferujete a proč ?
Dík
« Poslední změna: 03. 02. 2022, 18:25:08 od Petr Krčmář »


DMZ s veřejnými, protože ipv6, protože NAT se musí složitě udržovat a stojí hodně zdrojů v HW, některé protokoly jsou s tím prostě problematické, bezpečnost neřeší a jen komplikuje přehlednost.

Ve velkých firmách hojně funguje privátní DMZ a přístup ven pouze přes proxy server, tím se vyhneš NATům a máš provoz centralizovaný.

DMZ s veřejnými adresami vs DMZ s privátními staticky NATovanými adresami...
Co z toho preferujete a proč ?
Dík
Dodávám ... jen IPv4

DMZ s veřejnými adresami vs DMZ s privátními staticky NATovanými adresami...
Co z toho preferujete a proč ?
Dík
Dodávám ... jen IPv4

Ak mate dostatok ipv4, tak urcite bez snat.

Preto, ze snat vam neposkytne nic naviac, len to ze obide nedostatok ip adries pre sluzby ktore potrebujete publikovat.

Ak nemate dostatok ipv4, tak na vyber moc nemate

pokud není dostatek ipv4, hodně pomůže přejít na ipv6, ocení to uživatelé a je to investice do budoucna.

Jak píše Death Walker, NAT nedává smysl pokud máš jinou možnost.


Jak píšou ostatní, NAT je obezlička pro případ, když nemáte jinou možnost. NAT vám nikdy nepřinese nějakou přidanou hodnotu, může něco akorát rozbít. Takže když nemusíte NAT použít a máte veřejné IP adresy, použijte je.

Záleží na tom, jestli adresy jsou routované jako celý blok (obvyklý případ u IPv6, u IPv4 už méně) nebo "on-link".
Pokud jsou z pohledu routeru "on-link" (např. gateway má adresu 192.0.2.1/29, a klient používá 192.0.2.2 až 192.0.2.6), tak nezbývá než 1:1 NAT (nebo zhůvěřilosti s Proxy ARP).

Pokud máte routovaný menší blok, např. gateway 192.0.2.1/30, router 192.0.2.2/30, routovaný blok 192.0.2.4/30 (jen 4 adresy), tak pro ušetření adres dává smysl interní DMZ adresovat na privátních IPv4 adresách (např. router DMZ 10.255.1.1/24, server1 10.255.1.2/24), a routovat IPv4 adresy s maskou /32 na konkrétní privátní IP (např. 192.0.2.4 via 10.255.1.2) a na serveru mít /32 na dummy rozhraní.

Dá se vymyslet i kombinace, kdy IPv4 budete routovat jako /32 adresy a pro IPv6 se na DMZ interface na routeru přiřadí standardní /64.

No právě že pro tu DMZ máme další, odlišný rozsah 16 veřejných IP. Jde mi hlavně o to, který přístup je bezpečnější. To jsem zapomněl v otázce zdůraznit.
« Poslední změna: 03. 02. 2022, 16:40:31 od FKoudelka »

No právě že pro tu DMZ máme další, odlišný rozsah 16 veřejných IP. Jde mi hlavně o to, který přístup je bezpečnější. To jsem zapomněl v otázce zdůraznit.

Pak otázka úplně postrádá smysl. NAT s bezpečností nijak nesouvisí.

Jinak z hlediska funkčnosti je samozřejmě lepší mít v DMZ veřejné adresy.
« Poslední změna: 03. 02. 2022, 16:50:10 od FactChecker »

No právě že pro tu DMZ máme další, odlišný rozsah 16 veřejných IP. Jde mi hlavně o to, který přístup je bezpečnější. To jsem zapomněl v otázce zdůraznit.

Tak ak vam pokryju pocet servrov nie je co riesit.

Tie sluzby publikujete tak ci tak, nie je podstatne ci cez jednu ip alebo viacero ip.

Ohladne bezpecnosti je to skor diskutovane v suvislosti s maskaradou, ta ale riesi nieco ine ako snat (bez ohladu na to ze mozu byt pouzite subezne)

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Tie sluzby publikujete tak ci tak, nie je podstatne ci cez jednu ip alebo viacero ip.

To právě nemusí být pravda - v případě, že potřebujete (plácnu) 4 servery DNS, tak je asi budete těžko poskytovat na jedné adrese, když je všechny potřebujete na portu 53. Tohle právě řeší IPv6, kdy s takovými kravinami není třeba ztrácet čas.

Tie sluzby publikujete tak ci tak, nie je podstatne ci cez jednu ip alebo viacero ip.

To právě nemusí být pravda - v případě, že potřebujete (plácnu) 4 servery DNS, tak je asi budete těžko poskytovat na jedné adrese, když je všechny potřebujete na portu 53. Tohle právě řeší IPv6, kdy s takovými kravinami není třeba ztrácet čas.
Jasně, ale předpokládám  Static NAT 1:1. Leze to ze mne jak z chlupatý deky, co ?
Apropos , nechtěl jsem ovlivňovat respondenty, ale teď už přiznám, že jsem přesvědčen, že ten NAT , který je mi nucen , je v naší situaci totální kravina.

Re:DMZ s veřejnými nebo s privátními adresami
« Odpověď #12 kdy: 04. 02. 2022, 01:03:38 »
Pokud máte routované adresy, tak static NAT nemá vůbec žádný smysl.

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Ve velkých firmách hojně funguje privátní DMZ...

Co je „privátní DMZ“? Nedává mi to smysl.

Vilith

  • *****
  • 660
    • Zobrazit profil
Ve velkých firmách hojně funguje privátní DMZ...

Co je „privátní DMZ“? Nedává mi to smysl.

DMZ v rámci Inside - servery pro vnitřní potřeby organizace, které nemají komunikovat s Outside, maximálně se stroji v DMZ v omezeném režimu (mohou poskytovat omezený přístup k datům). Třeba firemní fileserver, printserver, DHCP apod.