knapa 3 zone ? yah karena topology yg dianggap "aman" seperti itu, mail server yang berada di dmz akan lebih terlindungi oleh firewall. Apabila mail server di letakkan di belakang firewall, belum pernah coba. Tapi kalau mail server di letakkan di depan firewall dan dibelakang router, bisa, dan saat ini memang di terapkan seperti itu. http://www.shorewall.net/three-interface.htm <-- disini ada intisari dari firewall 3 zone yang diterapkan ini.
--- Jos <[EMAIL PROTECTED]> wrote: > Sedikit masukan, kenapa anda menggunakan DMZ-2 lagi > sedangkan itu sudah di > belakang firewall dimana ip public nya sudah > ada(Eth2), kalo boleh kasih > masukan dari topologinya mendingan di firewall hanya > ada 2 DMZ saja, 1 untuk > inside, dan 1 lagi untuk outside, Mis. Eth0 ke > router dan Eth1 ke inside, > jadi nanti mail server na adanya di inside, di > firewall tinggal di lakukan > mapping ajah untuk ip public mail server itu ke ip > inside mail server. > > Tp kl tetep si mail server tidak mau di masukan ke > inside, masukan saya mail > server tersebut jgn di belakang firewall, tetapi di > belakang router, jadi > nanti kl dari inside mo akses ke mailserver tersebut > melalui firewall, kl > mailserver tersebut masih di belakang firewall anda > harus melakukan double > routing (1 ke internet dan satu lagi ke DMZ-2) efek > nya inside tidak bisa > browse ke internet, karena konsep dasar firewall > sebenarnya bukan berfungsi > untuk routing melainkan untuk nat, pat, access & > deny connection & port. > > Sorry untuk konfig di shorewall na kurang ngerti, > barangkali ada masukan > dari rekan lainnya > > Thanks > > ----- Original Message ----- > From: "Senopati ing Alogo" > <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Thursday, August 19, 2004 2:17 PM > Subject: [tanya-jawab] gagak koneksi DMZ dengan > shorewall > > > Ada pertanyaan mengenai firewall yang di setting > melalui Multi Network Firewall dari mandrake, dan > menggunakan engine firewall shorewall > > > internet --- router ---firewall --- LAN > | > | > DMZ-------- Mail Server > > > > Kondisi : > - LAN bisa browsing ke internet dengan masquarade > - DMZ/Mail server tidak bisa kontak sama sekali ke > Firewall atau ke internet (ping) > - Firewall (FW) bisa kontak ke internet/LAN/Mail > server/DMZ (dengan ping sudah ketahuan ada koneksi) > - LAN tidak bisa kontak langsung ke dmz (mail > server) > dengan ssh atau ping > > misalkan IP internet 192.168.xx.xx, IP LAN 10.x.x.x > > > router eth: 192.168.40.17 > eth2 FW-internet : 192.168.40.18 > eth1 FW-DMZ : 192.168.40.24 > eth0 FW-LAN : 10.0.0.11 > mail server : 192.168.40.20 > > setting gateway : > gateway pada mail server (192.168.40.20) ke > 192.168.40.24 > pada fw ditambahkan gateway host 192.168.40.20 dari > 192.168.40.24 > > pada firewall : > [EMAIL PROTECTED] root]# netstat -nr > Kernel IP routing table > Destination Gateway Genmask > Flags > MSS Window irtt Iface > 192.168.40.20 192.168.40.24 255.255.255.255 UGH > 40 0 0 eth1 > 192.168.40.16 0.0.0.0 255.255.255.240 U > 40 0 0 eth2 > 202.165.40.16 0.0.0.0 255.255.255.240 U > 40 0 0 eth2 > 0.0.0.0 0.0.0.0 255.255.255.0 U > 40 0 0 eth0 > 10.0.0.0 0.0.0.0 255.255.255.0 U > 40 0 0 eth0 > 127.0.0.0 0.0.0.0 255.0.0.0 U > 40 0 0 lo > 0.0.0.0 192.168.40.17 0.0.0.0 UG > 40 0 0 eth2 > 0.0.0.0 0.0.0.0 0.0.0.0 U > 40 0 0 eth0 > > Interface Subnet SNAT > 1 eth2:0.0.0.0/0 10.0.0.0/24 192.168.40.18 > > policy pada FW > 1 lan dmz ACCEPT > 2 lan all REJECT info > 3 dmz all REJECT info > 4 fw all REJECT info > 5 wan all DROP info > 6 all all REJECT info > > rules tidak di ikut sertakan, karena terlalu panjang > mungkin kalo di paste disini. > Dari mail server tidak bisa ping sama sekali ke FW, > meskipin iptables dibuka. > > > Pertanyaan : > 1. Apakah pada DMZ(mail server) yang menggunakan > netmask (255.255.255.240) yang sama dengan > 192.168.40.17 (router), 192.168.40.18(eth int fw), > dan > 192.168.40.24 (eth dmz fw) perlu dilakukan settingan > khusus supaya bisa terkoneksi dengan dunia luar ? > 2. Apakah dari LAN perlu masquarade juga supaya > dikenali oleh mail server ? (jadi menggunakan dua > masquarade, keluar ke ip 192.168.40.18 dan > 192.168.40.24, ini sebenarnya sudah di coba, tapi > ternyata LAN malah tidak bisa browsing) > 3. Bagaimana supaya mail server (DMZ), bisa dikenali > oleh internet (wan) dan LAN > > > > terimakasih atas perhatiannya, mudah2an.. pengertian > settingan tidak berubah:D gara2 diganti jadi ip > private > > > > > ===== > Senopati ing Alogo > > __________________________________________________ > Do You Yahoo!? > Download the latest ringtones, games, and more! > http://sg.mobile.yahoo.com > > -- > Unsubscribe: kirim email kosong ke > [EMAIL PROTECTED] > Arsip, FAQ, dan info milis di > http://linux.or.id/milis.php > Tidak bisa posting? Baca: > http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi > http://linux.or.id/wiki/index.php?pagename=TataTertibMilis > > > > > -- > Unsubscribe: kirim email kosong ke > [EMAIL PROTECTED] > Arsip, FAQ, dan info milis di > http://linux.or.id/milis.php > Tidak bisa posting? Baca: > http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi > http://linux.or.id/wiki/index.php?pagename=TataTertibMilis > > ===== Senopati ing Alogo __________________________________________________ Do You Yahoo!? Download the latest ringtones, games, and more! http://sg.mobile.yahoo.com -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
