Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Задача №2
 
Сеть построена таким способом. Стоит пограничный фаервол+NAT Kerio v.6, DNS (something.ru) передает все запрос, которые не нашла в локалке к DNS провайдера. В моей локалке стоит комп на Линуксе. Там поднят Apache. Мне нужно сделать так что бы в мира был виден мой Веб-сервер, который находиться в локалке (www.something.ru). Я думал пустить в локалку OSPF, но тогда все компы в локалке будут видны (небезопасно!). Как мне перенаправить все входящие с мира HTTP на внутренний сервак. Конечно же в Масдае (Пограничный сервер стоит на Win 2003)есть в свойствах сетевой карты такая возможность, но наско-ко она действенна и безопасна она?
 
Была прогмка самолетик, dns2go.deerfield.com должна помочь всего 10 баков в год есть ли я не ошибаюсь и правильно понял проблему.
 
Что мешает поставить перед пограничным масдаем линакс с нат? В керио, что ни месяц, то новая уязвимость (хоть и пустяшные, но не приятно)
 
Воткни в пограничный сервер 3-ю сетевуху, подключи к ней свой сервер. Получится ДМЗ. Настрой соответсвенно правила файрвола.
 
Вообще вариант с DMZ наиболее правильный с точки зрения сетестроительства но есть и другой вариант:

Делаешь локальный днс сервак, в котором заводишь эту зону и сопоставляешь dns записи с локальными адресами, таким образом если комп в локалке запросит something.ru то получит внутренний адрес, и наоборот если комп из инета, то соответственно запись придет от внешних днс серверов с внешним адресом. Таким образом у меня были реализованы почтовые сервера, с mx записями и прочим, а внешний днс я юзал от прова, если чего надо туда прописать, то один звоночек и готово.
 
Ставь ISA, настрой web publishing на внутренний веб сервер, в dns ip веб сервера соответственно пропиши на ISA
 
Pili у тя есть доки по ISA 2004? Если да то брось их на xtension@inbox.ru. Буду очень признателен. А то я хелпами пользовался, чета у меня так и не заработал NAT
:(. А то не люблю я керио... он какой-то цветной, попсовый.. А линух мне на не нужен. Ско-ро CISCO 501 PIX пкупать будем нах мне мучитьс нстраивать SAMBA IPTABLES DNS да я лучьше чай попью все это время. Кстати в IPTABLE баги тоже есть, сосбственно в любом софте есть баги.
 
xtension, доки в mdsn на двд(новые) на англ.
ту же инфу можешь найти на
http://msdn.microsoft.com
http://www.microsoft.com/isaserver
http://www.microsoft.com/technet/prodtechnol/isa/default.msp x
http://www.microsoft.com/isaserver/techinfo/productdoc/defau lt.mspx
по моему этого достаточно, чтобы настроить )
 
а на Керио разве нельзя настроить переадрисацию используя порт( 80 типа все запросы на этот порт на такой то комп)
 
Цитата
xtension пишет:
Pili у тя есть доки по ISA 2004? Если да то брось их на xtension@inbox.ru. Буду очень признателен. А то я хелпами пользовался, чета у меня так и не заработал NAT
:(. А то не люблю я керио... он какой-то цветной, попсовый.. А линух мне на не нужен. Ско-ро CISCO 501 PIX пкупать будем нах мне мучитьс нстраивать SAMBA IPTABLES DNS да я лучьше чай попью все это время. Кстати в IPTABLE баги тоже есть, сосбственно в любом софте есть баги.
CISCO PIX 501 не поддерживает ДМЗ. Получится таже ситуация как и сейчас у тебя есть. А если откроешь порт на внешнем интерфейсе какой смысл тогда PIX покупать? Ты всё-таки реши куда будешь ставить ВЕБ-сервер.
 
Цитата
xtension пишет:

:(. А то не люблю я керио... он какой-то цветной, попсовый.. А линух мне на не нужен. Ско-ро CISCO 501 PIX пкупать будем нах мне мучитьс нстраивать SAMBA IPTABLES DNS да я лучьше чай попью все это время. Кстати в IPTABLE баги тоже есть, сосбственно в любом софте есть баги.
пионерия во всей красе. не любишь линух - поставь freebsd5.4/openbsd. И думаешь пиксу не надо настраивать? ;)
а на баги в iptables пжалста линк. и причём тут самба & днс?
 
Цитата
sprite пишет:
а на Керио разве нельзя настроить переадрисацию используя порт( 80 типа все запросы на этот порт на такой то комп)
точно можно
 
Цитата
sprite пишет:
а на Керио разве нельзя настроить переадрисацию используя порт( 80 типа все запросы на этот порт на такой то комп)
имхо, можно. и вообще, зовётся это DNAT.
Страницы: 1
Читают тему