イーサネットMellanoxスイッチでDMZゾーンを構成する方法
情報がまったく見つからない可能性があり、MellanoxMSN2100スイッチでDMZゾーンを構成する方法。
DMZからLANへのトラフィックを無効にするACLを設定すると、LANからDMZへの要求に対する応答を受信できません。
私にできる方法はありますか?
私がそれをしている主な理由は、ファイアウォールへのスループットを最大化し、インターネットに関連する接続のみに制限することです。それ以外の場合は、ファイアウォール上のすべての接続を2倍にし(LANからDMZのプロキシサーバーへ、次にプロキシからWANへ)、ファイアウォールの最大スループットを半分に減らします。
助けてくれてありがとう。
ACLは基本的にステートレスです。ファイアウォール(通常はステートフル)とは異なり、両方方向をフィルタリングまたは許可するようにACEを設定する必要があります。
したがって、DMZサービスのみからの応答を許可し、他のすべてを拒否することができます。LANからDMZへのDNS、WWW、およびRDP接続を許可するには、このACLを適用できます。入力のDMZポートへ:
1000 permit udp dmz/24 lan/24 eq-source 53
1010 permit tcp dmz/24 lan/24 eq-source 80
1020 permit tcp dmz/24 lan/24 eq-source 443
1030 permit tcp dmz/24 lan/24 eq-source 3389
1200 deny ip dmz/24 lan/24
9999 permit ip any any
(dmz/24とlan/24をDMZとLANアドレス/マスクに置き換えてください)
ACE 1200は、DMZから以前は許可されていなかったLANへのすべてのトラフィックをフィルタリングします。ACE9999は、そのポートで必要な場合、WANトラフィックを許可します。