Netwerk Adressering

plan ziet er strak uit.

Een DMZ voor de externe servers is zoizo een goed idee (hoort ook zo, perfect gedaan man).

ik zou alleen de DMZ en je normale net in verschillend IP sigment gooien. Dit levert verschillende voordelen op:

a) je kan je pool instellen op 192.168.1.* (hoewel je dit normaal niet nodig hebt maar toch)

b) je kan spoofers beter afschermen omdat je alles wat geen 192.168.1.* eruit filteren kan i.p.v. alles boven 192.168.1.x (sneller dus)

De DMZ bijv:
192.168.100.*

tussen firewall en "router" en
intern
192.168.1.*

Ik weet alleen niet of die interne router zin heeft... tenzij je de interne servers ook op een ander subnet wil laten lopen (aan te raden als je intern ook nog hackers hebt en er verstand van hebt oe je de software er op instellen moet. Op zo'n moment heb je bijv. Intene servers op 192.168.0.* Clients op 192.168.1.* en de DMZ op 192.168.2.*).

Weinig op aan te merken hoor.

Idd als je het technisch kunt verwezenlijken, en dat lijkt me zeer waarschijnlijk dan zou ik voor de servers ook een ander segment kiezen.

Wat eigenlijk het beste aan je hele plan is, is de tekening. Doet wonderen om de boel overzichtelijk te houden en snel een visuele voorstelling van zaken te geven.

Bijna een soort gelijke configuratie draai bij ons ook naar volle tevredenheid. Succes met de implementatie!

Het got is het eens... een goed plan
nu de implementatie nog

Op maandag 03 december 2001 16:54 schreef reddog33hummer het volgende:
plan ziet er strak uit.

Een DMZ voor de externe servers is zoizo een goed idee (hoort ook zo, perfect gedaan man).

ik zou alleen de DMZ en je normale net in verschillend IP sigment gooien. Dit levert verschillende voordelen op:

a) je kan je pool instellen op 192.168.1.* (hoewel je dit normaal niet nodig hebt maar toch)

b) je kan spoofers beter afschermen omdat je alles wat geen 192.168.1.* eruit filteren kan i.p.v. alles boven 192.168.1.x (sneller dus)

De DMZ bijv:
192.168.100.*

tussen firewall en "router" en
intern
192.168.1.*

Ik weet alleen niet of die interne router zin heeft... tenzij je de interne servers ook op een ander subnet wil laten lopen (aan te raden als je intern ook nog hackers hebt en er verstand van hebt oe je de software er op instellen moet. Op zo'n moment heb je bijv. Intene servers op 192.168.0.* Clients op 192.168.1.* en de DMZ op 192.168.2.*).

Helemaal mee eens. Eventueel kun je op je firewall kleinere subnetten aanmaken zodat je toch op je firewall alles in 192.168.0.x kun gebruiken.
Bijvoorbeeld:
192.168.0.64 tot 192.168.0.127 met subnetmask 255.255.255.192
en 192.168.0.128 tot 192.168.0.191 met subnetmask 255.255.255.192

Het eerste subnet zou ik niet gebruiken, omdat sommige hardware en software met gesubnette netwerken niet lekker overweg kan. Wil je alles op safe doen, dan is het beste:
192.168.0.x voor je DMZ
192.168.1.x voor je servers
192.168.2.x voor je clients.

Ik heb nog (steeds ) geen steekhoudende argumenten voor de interne router gehoord. Zonder specifieke reden is het alleen een extra point of failure.

De config met een DMZ is niet slecht, maar staat of valt met de exacte configuratie van de FW.

Op maandag 03 december 2001 16:27 schreef postduif het volgende:
[..]Ik had zelf zoiets bedacht van:

FW (3x Nic)
Nic1 verbinding i-net. (is DHCP in 10.1.11 range)
Nic2 (Naar DMZ): 192.168.0.1
Nic3 (Naar router): 192.168.0.2
[..]
Lijkt dat wat of klopt er geen zak van?

Klopt geen zak van; op deze manier kan je firewall niet routeren tussen de DMZ en de rest van je netwerk (al dan niet via je router, die overigens overbodig is, maar dat terzijde)

Op maandag 03 december 2001 16:27 schreef postduif het volgende:
Ik ben bezig een volgend netwerk op te zetten (zie plaatje)

Uitleg: FW is (OpenBSD) firewall
RO is (OpenBSD) router

OpenBSD firewall & OpenBSD router
das tenminste goeie smaak