LINUX.ORG.RU
ФорумAdmin

Вопрос по DMZ


0

1

ДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗ.

Есть ли смысл пихать туда мой dns, если он работает в чрут окружении ?(передаёт запросы от dns Windows 2003 server в нет).

И вообще для каких серверов его целесообразно использовать ?

нет

ДНС - это публичная служба, смысла ее прятать нет

дмз используют например для биллинга, чтобы никто кроме тех кому разрешено, не смог туда залезть

outsider ★★ ()
Ответ на: комментарий от drac753

ну например dns, ntp, http - тоесть все то, что закрывать смысла нет

а вот всякие mysql c коллекторами трафика (эт я опять про биллинг) - прятать нужно

outsider ★★ ()
Ответ на: комментарий от thesis

Принцип работы - запрос с днс Винды идёт к линуховому днс , а уже оттуда в нет . Из нета соответственно ответ идёт на linux а с него к винде , блин жаль картинку с рисунком вставить не могу.

drac753 ★★ ()
Ответ на: комментарий от outsider

Гмм а к примеру если у меня будет на локльном серваке мой нетовский сайт крутится , тут пмоему есть смысл запихнуть эту связку в dmz ?

drac753 ★★ ()
Ответ на: комментарий от drac753

Еще раз: Твой DNS принимает запросы извне? Из недоверенной сети?

thesis ★★★★★ ()
Ответ на: комментарий от drac753

ты помоему не совсем понимаешь термин DMZ "...находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети..."

а то что тебе надо, так закрыть не нужные порты и/или прописать определенные ip на доступ к твоим ресурсам

outsider ★★ ()
Ответ на: комментарий от outsider

Из не доверенной, нет из вне тоже нет , слушает только 127.0.0.1 и локальнуй сеть 192.168.3.25

drac753 ★★ ()

милитаризированная - не что иное, как безлюдная. В неё «ложат» те компутеры, которые смотрят в мир: http, dns, ftp, etc для того, чтобы ограничить доступ «сломанного» сервера/службы к подсети с важной корпоративной информацией.

напр:

         dmz (192.168.0.0/24) публичные dns и ftp

wan (gw)

         lan (192.168.3.0/24) пользователи + локальный ftp (напр., для бэкапов)

dmz dnat'ится, т.е. к ней есть «прямой» доступ, а lan snat'ится - lan не видно снаружи + если сломают публичный ftp в dmz - ftp в lan'е останется недосягаемым для поломавшего dmz-зону, если, естественно, это реализовать.

в твоём случае dns слушает только lan, поэтому выносить его в dmz нет смысла

cac2s ()
Ответ на: комментарий от cac2s

спасибо всем за посты , более менее понял о чём речь

drac753 ★★ ()
Ответ на: комментарий от cac2s

dmz dnat'ится, т.е. к ней есть «прямой» доступ, а lan snat'ится

Какой-то линуксовый словарь терминов. На OpenBSD/FreeBSD нету никаких dnat'ов и snat'ов и как-то ведь работают. :)

iZEN ★★★★★ ()
Ответ на: комментарий от iZEN

ваши витые пары даже без опенбзде работают нараз, идите дальше обжимайте, а то начальник заругает

anonymous ()
Ответ на: комментарий от cac2s

он и есть неграмотный трололо, ни на одном форуме ещё ни разу ничего не посоветовал, чтобы работало, зато срать горазд

anonymous ()
Ответ на: Та же фигня от cac2s

NAT используется много где, даже в Windows, но только линуксоиды придумали названия SNAT и DNAT для IPTABLES. :))

iZEN ★★★★★ ()
Ответ на: комментарий от iZEN

изенька! начальник ругается, план по обжимкет витых пар не выполнен!

то что ты не знаешь ничего про фрибеезде и везде кидаешь ссылки на одни и те же мануалы не выведет тебя в админы твоего школьного провайдера, отнеси лучше бухту витой пары на пятый этаж

anonymous ()
Ответ на: комментарий от iZEN

Изя, тебе не надоело себя выставлять безграмотным дебилом?

redgremlin ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.