web-dev-qa-db-ja.com

イーサネットMellanoxスイッチでDMZゾーンを構成する方法

情報がまったく見つからない可能性があり、MellanoxMSN2100スイッチでDMZゾーンを構成する方法。

DMZからLANへのトラフィックを無効にするACLを設定すると、LANからDMZへの要求に対する応答を受信できません。

私にできる方法はありますか?

私がそれをしている主な理由は、ファイアウォールへのスループットを最大化し、インターネットに関連する接続のみに制限することです。それ以外の場合は、ファイアウォール上のすべての接続を2倍にし(LANからDMZのプロキシサーバーへ、次にプロキシからWANへ)、ファイアウォールの最大スループットを半分に減らします。

助けてくれてありがとう。

1
Mike

ACLは基本的にステートレスです。ファイアウォール(通常はステートフル)とは異なり、両方方向をフィルタリングまたは許可するようにACEを設定する必要があります。

したがって、DMZサービスのみからの応答を許可し、他のすべてを拒否することができます。LANからDMZへのDNS、WWW、およびRDP接続を許可するには、このACLを適用できます。入力のDMZポートへ:

1000 permit udp dmz/24 lan/24 eq-source 53
1010 permit tcp dmz/24 lan/24 eq-source 80
1020 permit tcp dmz/24 lan/24 eq-source 443
1030 permit tcp dmz/24 lan/24 eq-source 3389
1200 deny ip dmz/24 lan/24
9999 permit ip any any

dmz/24lan/24をDMZとLANアドレス/マスクに置き換えてください)

ACE 1200は、DMZから以前は許可されていなかったLANへのすべてのトラフィックをフィルタリングします。ACE9999は、そのポートで必要な場合、WANトラフィックを許可します。

1
Zac67