Em 03/09/2012 19:06, Marcus Vinicius. escreveu:
Sim, Cleuson, são da mesma classe!
Então, vamos lá! Tentarei ser o mais objetivo possível...
Tenho uma rede com um range público /24 que está sendo distribuído aos
usuários através de um DHCP, só! Gostaria de ter mais controle dela e
não sei se continuo com os ips públicos ou se coloco NAT. Dizem que se
for NAT, o controle é melhor e mais segurança, isso confere? Se sim,
beleza, eu passo pra NAT. Se não for verdade e houve a possibilidade
de ter o total controle continuando com os ips públicos, prefiro que
seja assim, já que toda a minha rede está configurada (impressoras,
compartilhamentos e etc) para o range público.
Abraços.
Em 3 de setembro de 2012 16:33, Cleuson Alves <cleuso...@gmail.com> escreveu:
Snip...
Bom vamos la Marcus,
A questão da segurança cada um tem a sua opnião, quanto a usuários
finais ( seres que utilizam computadores sem qualquer prática adequada
de seguraça ) de fato se nat é ou não mais seguro fica complicado
afirmar, visto que eles tem muita aplicação com capacidades de VPN
camuflada em https, o que torna nat e ip válido a mesma coisa.
Minha dica, já que tem um range de IP Publico de sobra para cobrir toda
a sua rede, faça o seguinte.
Range completo ficticio: 200.002.020.0/24
Caso possua switch gerenciavel com suporte L3 ( pode ser static route ).
Segmento de Acesso a Internet, ( Perimetro de Segurança )
200.002.020.0/29 ==> Comunicação do seu PFSense com o Switch Core da sua
rede, somente se o switch ter suporte a roteamento, por que desse
cenário, se tudo passar pelo PFSense ele se tornará um ponto de falha
unico, alem de ser o gargalo da rede para aplicações internas da rede (
compartilhamento de arquivo, ftp, dns, ERPs ), deixa o switch principal
efetuando o papel de Core-Router.
200.002.020.1/29 ==> PFsense, Nic Lan.
200.002.020.2/29 ==> Vlan de comunicação com o PFSense do Switch Core (
Ninguem acessa o PFSense por outra Vlan ).
Os restantes dos IPs, 4 no total fica para colocar dispositivos
vinculados a roteamento, firewall, proxy, IDS.
Gateway de todos os dispositivos que estiverem nesse range, inclusive o
Switch, ( rota default 200.002.020.1/29 ).
Segmento de Acesso aos servidores.
200.002.020.224/27 ==> Rede dos seus Servidores, Por que de usar o final
do range de IP, simples para evitar perder ips para Broadcast e endereço
de rede, visto que o 255 e o 0 você perder de qualquer maneira.
Configura uma VLan para eles e configura acls para somente protocolos no
qual as aplicações em execução no servidores de fato são aceitas o
restante drop geral, ai vai da sua capacidade de lidar com as ACLs por
protocolos do seu switch, se o switch principal for top, pode deixar
essas acls bem refinadas.
Na Vlan do switch dos servidores coloca o 200.002.020.225/27
Gateway da rede dos servidores ( rota default apenas dos servidores ) =>
200.002.020.225/27
Vamos para o segmentos de usuários:
200.002.020.8/29 => Rede dos mandachuvas ( diretoria ).
Usa uma vlan com o 200.002.020.9/29 no switch, todos os equipamentos da
diretoria fica nesse range ( se demais portas/switch forem gerenciaveis
será mais pratico para você gerenciar, caso a diretoria no total
ultrapasse uma quantidade legal de IPs dedica um range maior para eles ).
Todos os dispositivos dessa vlan terá como gateway o 200.002.020.9/29.
Primeiro Range de Ips para usuário final
200.002.020.16/28
Vlan no switch com o ip 200.002.020.17/28 ( gateway do pessoal dessa rede ).
Segundo range de IPs Para Usuário Final
200.002.020.32/27
Vlan no switch com o IP 200.002.020.33/27 ( gateway do pessoal dessa rede ).
Terceiro range de IPs ( Departamento grande ).
200.002.020.64/26
Vlan no switch com o IP 200.002.020.65/26 ( gateway do pessoal dessa rede ).
Quarta range de IPs para usuário Final ( Departamento grande ).
200.002.020.128/26
Vlan no switch com o IP 200.002.020.129/26 ( gateway do pessoal dessa
rede ).
Quinto range de IPs para usuário final ( Departamento médio / pequeno ).
200.002.020.192/27
Vlan no switch com o IP 200.002.020.193/27 ( gateway do pessoal dessa
rede ).
Total de IPs não utilizaveis = 16 ( broadcast / endereço de rede ).
Segunda forma, sem perder muito ip mais tornando eles disponiveis para a
rede de servidores depois.
200.002.020.0/28 ( 16 IPs - 12 reservados para o futuro ou quebrar em um
/29 e dois /30 e dedicar o /29 para a rede das impressoras ).
PFSense nic lan = 200.002.020.1/28
IP Switch vlan0 = 200.002.020.2/28 ( gw: 200.002.020.1/28 )
200.002.020.16/28 ( 16 Ips para servidores - pode usar pelo menos 8 do
range de perimetro para servidores, basta segmentar ela e alocar os
demais para a vlan1 )
IP da vlan1 do switch-core: 200.002.020.17/28
gateway dos servidores: 200.002.020.17/28
Capacidade para 14 servidores ( interfaces de rede de servidores ).
200.002.020.32/27 Primeiro range de usuário ( range pequeno, curto pode
servir bem para a diretoria se ela não for muito grande ).
IP da vlan2 do switch-core: 200.002.020.33/27
Gateway dos equipamentos: 200.002.020.33/27
Capacidade para 30 usuarios.
200.002.020.64/26 - Segundo range de usuário ( departamento médio até 62
usuarios )
Ip da vlan3 do switch-core: 200.002.020.65/26.
Gateway dos equipamentos 200.002.020.65/26
Capacidade para 62 usuarios.
200.002.020.128/25 - Ultimo range de usuário ( Departamento grande até
126 usuarios ).
Ip da vlan4 do switch-core: 200.002.020.129/25
Gateway dos equipamentos: 200.002.020.129/25
Capacidade para 126 usuarios.
Total de Ips perdidos: 10.
A vlan de servidores e caso crie a de impressoras basta liberar o que se
usa e bloquear todo o restante, foca as regras de firewall apenas nas
vlans de usuários.
Se decidir por endereçamento privado internamente e IP publico somente
no servidores, você poderá ter o PFSense como gargalo, onde umas quatro
ou 6 interfaces Gigabit com Lagg entre as duas rede poderá dar uma
performace maior.
Abraços e espero que sane as suas duvidas.
--
Paulo Henrique.
BSDs Brasil - FUG-BR
site: www.fug.com.br
Rip Irado !!!
flamers > /dev/null
_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt