Не могу найти никакой информации, возможно ли это вообще и как настроить зону DMZ на коммутаторе Mellanox MSN2100.
Если я настрою ACL, отключающую трафик из DMZ в LAN, я не могу получить ответ на запросы, сделанные из LAN в DMZ.
Как я могу это сделать?
Основная причина, по которой я это делаю, - максимизировать пропускную способность моего брандмауэра, ограничивая его только подключениями, связанными с Интернетом. В противном случае я удваиваю каждое соединение на брандмауэре (от LAN к прокси-серверу в DMZ, затем от прокси к WAN), сокращая максимальную пропускную способность межсетевого экрана вдвое.
Спасибо за любую помощь.
ACL по существу не имеют состояния. В отличие от брандмауэра (который обычно отслеживает состояние), вам нужно настроить ACE для фильтрации или разрешения обе направления.
Таким образом, вы можете разрешить ответы только от служб DMZ и запретить все остальное. Чтобы разрешить DNS, WWW и RDP-соединения из LAN в DMZ, вы можете применить этот ACL к порту DMZ при входе:
1000 permit udp dmz/24 lan/24 eq-source 53
1010 permit tcp dmz/24 lan/24 eq-source 80
1020 permit tcp dmz/24 lan/24 eq-source 443
1030 permit tcp dmz/24 lan/24 eq-source 3389
1200 deny ip dmz/24 lan/24
9999 permit ip any any
(замените адреса / маски DMZ и LAN на dmz/24
и lan/24
)
ACE 1200 фильтрует весь трафик из DMZ в LAN, который ранее не был разрешен. ACE 9999 разрешает трафик WAN, если он требуется для этого порта.