τοπολογια δικτυου και ερωτησεις

[geioannou]

τοπολογια δικτυου.

μολις εχω τελειωσει με την εγκατασταση του δικτυου (καλωδιων), rack, patchpanel εχω βαλει και ολα τα μηχανηματα μου μεσα στο rack (θα τα αναφερω παρακατω αναλυτικα) και εχω ενεργη και την γραμμη μου ADSL μεσα στο rack και αυτη.

τα μηχανηματα μου:

- firewall

- adsl modem router

- wireles (access point) N

- switch 24αρων θεσεων (τηλεφωνα και inet)(1000mbps)

 

αυτο που θα ακολοθουθησω εινα το παρακατω

 

1-ADSL modem-router, απο εκει συνδεση με

2-FIREWALL και απο εκει συνδεση με

3- SWITCH.

4 . Το wireless λεω να το βαλω επανω στο firewall (διαθετει 4 πορτες) για να μην μου φαει πορτα απο το switch.

επανω στα παραπανω θελω να ρωτησω τα εξης 2:

1 εαν στα παραπανω εχει κανεις καποια παρατηρηση.

2 Ο dhcp να τρεχει επανω στο firewall η να τρεχει επανω στο adsl modem router και το firewall να εχει μια static IP (οπως και το wireless) ?

γενικα με μπερδευει λιγο το FIREWALL μιας και δεν εχω ξαναδουλεψει κατι τετοιο.

στην συνεχεια (αναλογα με τις απαντησεις θα ρωτησω και 1-2 πραγματα σχετικα με το setup του FIREWALL.

[MiDi_MiLiZ]

Δεν ετυχε να ρυθμισω ποτε μου hardware firewall (θα σε βοηθησουν αλλοι συμφορουμιτες πιο ειδικευμενοι), φανταζομαι ομως οτι το setup πρεπει να γινει ακριβως οπως λες με στατικες IP στις 3 συσκευες.

Δηλαδη για παραδειγμα:

Router/Gateway/DHCP server: 192.168.1.1

Firewall: 192.168.1.253

AP: 192.168.1.254

 

Και οπως τα περιγραφεις στις διασυνδεσεις μεταξυ τους, μου φαινονται σωστα, με την επιφυλαξη επαναλαμβανω οτι δεν γνωριζω αν θελει κατι το ιδιαιτερο ενα firewall.

[geioannou]

σχετικα με το firewall δεν γνωριζω ουτε εγω εαν πρεπει να το αφησω στις defult ρυθμίσεις η θα πρεπει να κανω καποιες αλλες.

σχετικα με τον dhcp τι ειναι καλυτερο να κανω. να τρεχει στο adsl modem router η να τρεχει στο firewall ?

[Rabican]

τι Firewall ειναι αυτο; κατα 99% θα πρεπει να το κανεις DHCP relay agent εαν θες να βαλεις τον DHCP πανω στο router και το router μετα το firewall.

 

το Firewall, τουλαχιστον τα Cisco Και κατι Checkpoint που εχω δουλεψει, εχουν Inside και Outside interface, επομενως πρεπει να εχουν διαφορετικη ΙΡ σε αυτα τα 2. αρα θα σου σπασουν το LAN στη μεση.

[geioannou]

το firewall που εχω ειναι ενα της ZYXELL ZYWELL USG50.

 

σχετικα με τον dhcp που λες, σε περιπτωση που θελω να τρεχει στο adsl router θα πρεπει να το βαλω μετα το firewall ?

αλλα πως μπορει να γινει αυτο! το firewall δεν πρεπει να εχει και την γραμμη ουτος ωστε να την φιλτραρει ?

να περνει δηλαδη την LAN απο το router και στην συνεχεια να την δινει switch παρεχοντας την ασφαλεια. πως θα μπει μετα το adsl router?

[Rabican]

λιγο που το κοιταξα (κατα βαση κοιταξα το USG100, το USG50 δεν το βρηκα στο site της zyxel), ουσιαστικα εχει 3 τυπων interface. Inside, Outside και DMZ.

 

η τοπολογια ειναι ως εξης:

 

internet-----aDSL router-----Firewall-------LAN switch------Clients.

 

το firewall πρεπει να ειναι στη μεση του δικτυου για να ελεγχει την κινηση (tcp connections και traffic γενικα).

επειδη ειναι layer 3 συσκευη, πρεπει να βαλεις αλλα subnet.

 

 

αρα ο router στο LAN του θα εχει πχ 192.168.1.1, το firewall στο outside interface (αυτο που συνδεετε με το router) 192.168.1.2, το firewall στο inside interface (αυτο που πεφτει στο switch) 192.168.2.1 και οι clients θα εχουν 192.168.2.X (εκτος φυσικα της 1 που ειναι στο interface του firewall). η default gateway για τους clients ειναι η 192.168.2.1, δηλαδη το firewall. ενα dhcp discover πακετο που στελνει ενας client δεν φευγει εκτος broadcast domain, αρα στο firewall θα "κολλαει" και δε θα φτανει στον router. επομενως, εαν θελεις ο router να ειναι DHCP server, θα κανεις το firewall DHCP-relay-agent (δηλαδη τα dhcp discover πακετα να τα προωθει στο router). αλλιως θα πρεπει να εχεις καποιο PC/server στο LAN που θα μοιραζει αυτος ΙΡ!

[geioannou]

ησουν κατατοπιστικοτατος σχετικα με αυτα που ειπες.

προφανος και δεν εχω λογο να κανω τετοια ιστορια με τον dhcp. θα τον βαλω να τρεχει επανω στο firewall. ελεγα απλος να το βαλω επανω sto router μιας και ειναι κατι που ξερω καλυτερα.

κατι αλλο, Inside, Outside interface εχουν συγουρα ολα τα firewall ?

[Rabican]

απο οσο εχω δει ναι. inside interface θεωρειται αυτο που εχει επανω του το LAN, και ειναι το πιο safe. outside interface ειναι αυτο που βλεπει στον εξω κοσμο (internet) και θεωρειται unsafe. dmz interface ειναι κατι ... μεταξυ των 2! επι της ουσιας για σενα ειναι ethernet interfaces. αναλογα με το appliance μπορεις να βαφτισεις οποιο ethernet interface θες ως inside/outside/dmz. τουλαχιστον στα ASA της Cisco που δουλευω εγω ετσι ειναι. τωρα σε κατι παλιοτερα CheckPoint Server Firewall που ειχα δει, ειχες 2 καρτες δικτυου στο server, η μια inside η αλλη outside και επαιζες μπαλα ετσι. επισης στα DMZ interface μπορεις να ορισεις εσυ "ποσο safe" θα ειναι. υπαρχει ενα security level που οριζει το ποσο safe ειναι το καθε interface. το inside εχει 100, το outside 0. τα DMZ εχουν κατι ενδιαμεσο.

 

δεν ειμαι σιγουρος αν το Firewall που πηρες μπορει να κανει τον DHCP server! ψαξτο απο το site του κατασκευαστη.

[geioannou]

ναι απο οσο ξερω τρεχει dhcp.

πες μου κατι αλλο. απο την στιγμη που σεταρω τα interface, χρειαζετε τιποτε αλλο η ξερει μονο του απο τα Inside, Outside τι να προστατεψει και που ?

επισεις, σχετικα με το ανοιγμα πορτω ν κλπ θα πρεπει να τις ανοιγω και απο το adsl router αλλα και απο το firewall ?

[Rabican]

δεν το ξερω το zyxel, δεν ξερω πως τα οριζεις. φανταζομαι ομως θα του εξηγεις ποιο ειναι ποιο! τωρα για τις πορτες, προφανως πρεπει να τις ανοιξεις στο router και στο firewall. ειδικα αν θες να εχεις καποιον ftp server (πχ) σε PC μεσα στο LAN, δε θα το βλεπεις απ εξω αν δεν το ανοιξεις και στους 2!

[geioannou]

extra ερωτηση για το σεταρισμα (τωρα που σε βρηκα)...

περα απο τον ορισμο του ποιο ειναι ποιο, πρεπει να ορισμουμε εμεις το επιπεδο του φιλτραρισματος? του τι θα περναει και σε πιο επιπεδο

και κατι αλλο περισσοτερο ενημερωτικα διοτι ξερω οτι ειναι περα για περα foul. γινετε τα 2 interface να εχουν ΙΡ απο το ιδιο range η δεν σε αφηνει η συσκευη ? (ενημερωτικα και μονο)

[Rabican]

ειναι layer 3 συσκευη. δεν νομιζω να σε αφηνει. πρεπει να ειναι διαφορετικα subnets. στα Cisco ASA δε σε αφηνει. δεν νοειται. δεν ξερω μηπως η zyxel τα εχει υλοιποιησει με κανεναν αλλο τροπο (που δεν το νομιζω).

 

ολα θα τα ορισεις εσυ. by default, προς το εσωτερικο δικτυο δεν περναει ΤΙΠΟΤΑ εκτος απο την κινηση επιστροφης (δηλαδη connections που εχουν ξεκινησει απο το LAN προς τα εξω, και μιλαμε για την κινηση που επιστρεφει απο εξω προς τα μεσα σε αυτα τα connections). απο κει και περα, οριζεις εσυ τι πρεπει να περνα και τι οχι.

[geioannou]

(δηλαδη connections που εχουν ξεκινησει απο το LAN προς τα εξω, και μιλαμε για την κινηση που επιστρεφει απο εξω προς τα μεσα σε αυτα τα connections)

μπορεις να δωσεις καποια σχετικη περιπτωση παραδειγματος ?

επισης, για το http δηλαδη θα πρεπει να ανοιχτει η πορτα 80 !!

[Rabican]

αν εχεις στο δικτυο σου εναν ftp server η web server για παραδειγμα. πρεπει να αφησεις τις πορτες 20-21 και 80 να περνανε προς την ΙΡ του server. αφενος στο router πρεπει να κανεις το static NAT, αφετερου στο firewall θα πρεπει να επετρεψει να περνανε εισερχομενα web και ftp connections στις ΙΡ των server!

[geioannou]

ευχαριστω πολυ για ολες τις πληροφοριες.

απο μεθαυριο που θα ξεκινησω το σεταρισμα οτι χρειαστω θα επανελθω.