Freesco, NND, CDN, EOS

Mam sieć ok 25 kompów. Każdy ma swój IP przydzielany z DHCP od ISP.
Chciałbym zabezpieczyć swoją sieć (firewall) za pomocą Freesco.
Zależy mi na tym, aby wszystkie kompy miały nadal rutowalny IP.
Jak zatem ustawić Freesco? Jako router ethernetowy, czy jako mostek?
Jakie dać adresy kart IP? Dla eth0 - jest jasne - taki jak przydzieli mi DHCO od ISP ale jaki dać dla eth1? Na pewno chyba nie w stylu 10.x.x.x, 127.x.x.x, ani 192.x.x.x

Nie jestem pewny, ale jakoś nie mogę sobie wyobrazić jak to pogodzić, no bo z jednej strony IP zewnętrzne - czyli cały ruch jest przenoszony na kompa docelowego, z drugiej firewall który ma ograniczać dostąp z zewnątrz do sieci - czyli polityka bezpiczeństwa wnętrza sieci. Jak na mój gust to jest sprzeczne.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Dlaczego sprzeczne? Firewall filtruje przecież pakiety z adresu źródłowego do adresu docelowego. Jeśli spełnia one jakąś regułę to jest albo przekazywany do kompa docelowego wewnątrz sieci albo odrzucany?
Mylę się?

Myślę że się mylisz. Przeczytaj uważnie pierwszego posta.
25 kompów z IP od ISP. W takim przypadku fireewal powinien być po stronie ISP. Gdyby był 1_IP od ISP i 25 kompów w LAN, to byłoby OK.

_________________
NuFeL
------------
ASK KapselNet

częściowo. freesco działa jako router. czyli, że przekazuje pakiety _pomiędzy_ _różnymi_ _sieciami_. jeśli kompy mają IP (i to routowalne) od ISP, to znaczy, że razem z ISP są w tej samej sieci. w związku z tym nie możesz freesco wstawić _pomiędzy_ te kompy, a internet.

właśnie nadawanie adresów nieroutowalnych kompom biurowym jest jednym ze sposobów zabezpieczenia ich. ochronę koncentrujesz wtedy tylko na kompie z NAT-em. a jeśli chcesz utrzymać IP routowalne na tych kompach, to sorry - musisz chronić każdy osobno.

a mógłbyś wyjaśnić, po co ci routowalne IP? gdyby to były serwery, rozumiałbym to. ale jeśli to stacje robocze, to nie bardzo wyczuwam, czemu ryzykujesz. przecież z punktu widzenia szarego usera jest mu całkowicie obojętne, czy ma adres publiczny, czy prywatny.

Otóż są 3 serwery, które mają przypisany adres domenowy. Po za tym, niektóre kompy mają zainstalowane klientów usług, które sprawdzają IP, a nie chcę nadawać praw do tych usług dla całej sieci.
Po za tym chciałbym później postawić serwer DNS dla naszej sieci, gdzie stacje robocze miałyby np adres p107@domena.

Po za tym najbardziej zależy mi na tym, aby nie można było wchodzić sobie na dyski w naszej sieci z zewnątrz. W tej chwili jest tak, że w ramach jednej puli IP (maska 255.255.255.0) działa chyba 6 sieci, które widzą się na wzajem. To chcę również zlikwidować.

Pozdrawiam

Postaw Freesco i Fireewal dla każdego IP z osobna
Życzę powodzenia
P.S. Nie prościej postawić fireewala typu "ZoneAlarm" (czy coś takiego) na kompach?

_________________
NuFeL
------------
ASK KapselNet