Em 03/09/2012 19:06, Marcus Vinicius. escreveu:
Sim, Cleuson, são da mesma classe!

Então, vamos lá! Tentarei ser o mais objetivo possível...

Tenho uma rede com um range público /24 que está sendo distribuído aos
usuários através de um DHCP, só! Gostaria de ter mais controle dela e
não sei se continuo com os ips públicos ou se coloco NAT. Dizem que se
for NAT, o controle é melhor e mais segurança, isso confere? Se sim,
beleza, eu passo pra NAT. Se não for verdade e houve a possibilidade
de ter o total controle continuando com os ips públicos, prefiro que
seja assim, já que toda a minha rede está configurada (impressoras,
compartilhamentos e etc) para o range público.


Abraços.

Em 3 de setembro de 2012 16:33, Cleuson Alves <cleuso...@gmail.com> escreveu:

Snip...
Bom vamos la Marcus,
A questão da segurança cada um tem a sua opnião, quanto a usuários finais ( seres que utilizam computadores sem qualquer prática adequada de seguraça ) de fato se nat é ou não mais seguro fica complicado afirmar, visto que eles tem muita aplicação com capacidades de VPN camuflada em https, o que torna nat e ip válido a mesma coisa.

Minha dica, já que tem um range de IP Publico de sobra para cobrir toda a sua rede, faça o seguinte.
Range completo ficticio: 200.002.020.0/24

Caso possua switch gerenciavel com suporte L3 ( pode ser static route ).

Segmento de Acesso a Internet, ( Perimetro de Segurança )

200.002.020.0/29 ==> Comunicação do seu PFSense com o Switch Core da sua rede, somente se o switch ter suporte a roteamento, por que desse cenário, se tudo passar pelo PFSense ele se tornará um ponto de falha unico, alem de ser o gargalo da rede para aplicações internas da rede ( compartilhamento de arquivo, ftp, dns, ERPs ), deixa o switch principal efetuando o papel de Core-Router.
200.002.020.1/29 ==> PFsense, Nic Lan.
200.002.020.2/29 ==> Vlan de comunicação com o PFSense do Switch Core ( Ninguem acessa o PFSense por outra Vlan ). Os restantes dos IPs, 4 no total fica para colocar dispositivos vinculados a roteamento, firewall, proxy, IDS. Gateway de todos os dispositivos que estiverem nesse range, inclusive o Switch, ( rota default 200.002.020.1/29 ).

Segmento de Acesso aos servidores.

200.002.020.224/27 ==> Rede dos seus Servidores, Por que de usar o final do range de IP, simples para evitar perder ips para Broadcast e endereço de rede, visto que o 255 e o 0 você perder de qualquer maneira. Configura uma VLan para eles e configura acls para somente protocolos no qual as aplicações em execução no servidores de fato são aceitas o restante drop geral, ai vai da sua capacidade de lidar com as ACLs por protocolos do seu switch, se o switch principal for top, pode deixar essas acls bem refinadas.
Na Vlan do switch dos servidores coloca o 200.002.020.225/27
Gateway da rede dos servidores ( rota default apenas dos servidores ) => 200.002.020.225/27

Vamos para o segmentos de usuários:
200.002.020.8/29 => Rede dos mandachuvas ( diretoria ).
Usa uma vlan com o 200.002.020.9/29 no switch, todos os equipamentos da diretoria fica nesse range ( se demais portas/switch forem gerenciaveis será mais pratico para você gerenciar, caso a diretoria no total ultrapasse uma quantidade legal de IPs dedica um range maior para eles ).
Todos os dispositivos dessa vlan terá como gateway o 200.002.020.9/29.

Primeiro Range de Ips para usuário final
200.002.020.16/28
Vlan no switch com o ip 200.002.020.17/28 ( gateway do pessoal dessa rede ).

Segundo range de IPs Para Usuário Final
200.002.020.32/27
Vlan no switch com o IP 200.002.020.33/27 ( gateway do pessoal dessa rede ).

Terceiro range de IPs ( Departamento grande ).
200.002.020.64/26
Vlan no switch com o IP 200.002.020.65/26 ( gateway do pessoal dessa rede ).

Quarta range de IPs para usuário Final ( Departamento grande ).
200.002.020.128/26
Vlan no switch com o IP 200.002.020.129/26 ( gateway do pessoal dessa rede ).

Quinto range de IPs para usuário final  ( Departamento médio / pequeno ).
200.002.020.192/27
Vlan no switch com o IP 200.002.020.193/27 ( gateway do pessoal dessa rede ).


Total de IPs não utilizaveis = 16 ( broadcast / endereço de rede ).

Segunda forma, sem perder muito ip mais tornando eles disponiveis para a rede de servidores depois.

200.002.020.0/28 ( 16 IPs - 12 reservados para o futuro ou quebrar em um /29 e dois /30 e dedicar o /29 para a rede das impressoras ).
PFSense nic lan = 200.002.020.1/28
IP Switch vlan0 = 200.002.020.2/28 ( gw: 200.002.020.1/28 )

200.002.020.16/28 ( 16 Ips para servidores - pode usar pelo menos 8 do range de perimetro para servidores, basta segmentar ela e alocar os demais para a vlan1 )
IP da vlan1 do switch-core: 200.002.020.17/28
gateway dos servidores: 200.002.020.17/28
Capacidade para 14 servidores ( interfaces de rede de servidores ).

200.002.020.32/27 Primeiro range de usuário ( range pequeno, curto pode servir bem para a diretoria se ela não for muito grande ).
IP da vlan2 do switch-core: 200.002.020.33/27
Gateway dos equipamentos: 200.002.020.33/27
Capacidade para 30 usuarios.

200.002.020.64/26 - Segundo range de usuário ( departamento médio até 62 usuarios )
Ip da vlan3 do switch-core: 200.002.020.65/26.
Gateway dos equipamentos 200.002.020.65/26
Capacidade para 62 usuarios.

200.002.020.128/25 - Ultimo range de usuário ( Departamento grande até 126 usuarios ).
Ip da vlan4 do switch-core: 200.002.020.129/25
Gateway dos equipamentos: 200.002.020.129/25
Capacidade para 126 usuarios.


Total de Ips perdidos: 10.

A vlan de servidores e caso crie a de impressoras basta liberar o que se usa e bloquear todo o restante, foca as regras de firewall apenas nas vlans de usuários. Se decidir por endereçamento privado internamente e IP publico somente no servidores, você poderá ter o PFSense como gargalo, onde umas quatro ou 6 interfaces Gigabit com Lagg entre as duas rede poderá dar uma performace maior.


Abraços e espero que sane as suas duvidas.




--
Paulo Henrique.
BSDs Brasil - FUG-BR
site: www.fug.com.br

Rip Irado !!!
flamers > /dev/null

_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt

Responder a