Назад | Перейти на главную страницу

Способ настройки зоны DMZ на коммутаторе Ethernet Mellanox

Не могу найти никакой информации, возможно ли это вообще и как настроить зону DMZ на коммутаторе Mellanox MSN2100.

Если я настрою ACL, отключающую трафик из DMZ в LAN, я не могу получить ответ на запросы, сделанные из LAN в DMZ.

Как я могу это сделать?

Основная причина, по которой я это делаю, - максимизировать пропускную способность моего брандмауэра, ограничивая его только подключениями, связанными с Интернетом. В противном случае я удваиваю каждое соединение на брандмауэре (от LAN к прокси-серверу в DMZ, затем от прокси к WAN), сокращая максимальную пропускную способность межсетевого экрана вдвое.

Спасибо за любую помощь.

ACL по существу не имеют состояния. В отличие от брандмауэра (который обычно отслеживает состояние), вам нужно настроить ACE для фильтрации или разрешения обе направления.

Таким образом, вы можете разрешить ответы только от служб DMZ и запретить все остальное. Чтобы разрешить DNS, WWW и RDP-соединения из LAN в DMZ, вы можете применить этот ACL к порту DMZ при входе:

1000 permit udp dmz/24 lan/24 eq-source 53
1010 permit tcp dmz/24 lan/24 eq-source 80
1020 permit tcp dmz/24 lan/24 eq-source 443
1030 permit tcp dmz/24 lan/24 eq-source 3389
1200 deny ip dmz/24 lan/24
9999 permit ip any any

(замените адреса / маски DMZ и LAN на dmz/24 и lan/24)

ACE 1200 фильтрует весь трафик из DMZ в LAN, который ранее не был разрешен. ACE 9999 разрешает трафик WAN, если он требуется для этого порта.