壞男壞女新定義 <aaaaaaaaayx.bbs@bbs.tku.edu.tw>
wrote in message
news:3bJYhk$I1y@bbs.tku.edu.tw...
> 在架設網路上有些白痴問題,希望有高手能幫我解決
>
> 網路架構圖:
>
>
> INTERNET---ROUTER---FIREWALL-------MAIL SERVER
>
PROXY |
>
| |
>
| |
>
| ----WEB SERVER
>
|
>
----------------------------------
>
| | |
|
>
INTERNAL WS-1 WS-2 WS-3
..........
>
SERVER
> IP:210.59.190.64~127
> NETMASK:255.255.255.192
> 目前ROUTER的IP設為126
> 請問FIREWALL上的三張網卡以及MAIL,WEB SERVER的IP及GATEWAY如何設?
> 還有DNS要裝在那一台SERVER上?
如果您未使用到 ipmasqadm 的轉址功能﹐那麼 WEB, MAIL, 和 FW的外部界面可以設在
同一個 subnet 之內﹐
也就是用 210.59.190.x 那組﹐共同用一個 HUB/SWITCH
就可以了。它們的 GW 都應該
指向 210.59.190.126。
不過﹐這樣的話﹐它們也就直接暴露在 internet
上面了﹐除非您上游有提供火牆機
制﹐否則安全性就很低了。
假如您要將 WEB和 MAIL 接在 FW
的另一張界面上﹐其路由是一個問題。
您不知道在 FW 上如何設定兩張相同 subnet 的界面。
不知道是否可以用靜態路由來解決﹖(沒有實作過弟不敢肯定)
然而據弟以往的經驗﹐如果兩張界面都設在同一個 subnet
內﹐是行不通的。
假如上面的問題不能解決﹐您還有兩個選擇﹕
1﹐將它們架在另一個合法 IP
子網之下﹐再設定好所有的路由。然後 ipchains 對這
個子網的 forward 設成 ACCEPT 就可以了。
2﹐將它們也架在另一段私有 IP 中﹐然後用 ipchains MASQ +
ipmasqadm 來進行轉
址。
無論如何﹐將內部網路保持在一個私有 IP
子網中﹐對安全來說是一個不錯的選擇。
假如您覺得用第 2 個方法﹐您可以下載下面這個 script
﹐解壓後執行 ./fw nat 然
後按提示做就可以了。
當然﹐您還可以對 script 中的 ipchains 和 ipmasqadm
規則進行修改﹐直到符合自
己的要求為止。
http://pds.nchu.edu.tw/study_area/linux/fw.tar.gz
而 DNS 則可以和 WEB
它們放在同一個地方。而且我建議您建兩個 DNS ﹕一個對外﹐
另一個對內。
對內的那個﹐直接在內部網路建就好﹐且讓內部網路都使用它。
然後將 forwarder 指向外部的 DNS﹐但不應該讓它回答來自外部的查詢。
在外部的 DNS 僅僅設定關於註冊 IP
的查詢就可以了﹐不要將內部的資料寫在那裡。