شبکه با چند سرور

[javadkey]

یه شبکه داریم که در این شبکه سرورهای زیر را داریم:
1- سرور اینترنت ( که مودم به این سرور متصل هست و با استفاده از ایزا و vpn اینترت share شده )
2- سرور web : که iis نصبه فایلهای یک سایت که aspx است روی اسن سرور هست ( مثلا نرم افزار انتخاب واحد اینترنتی یا وب سایت اداره )
3- . چند تا سرور دیگه که من سوالم در این 2 مورد اولی هست:
چون سرور اینترنت داریم فقط این کامپیوتر در اینترنت شناخته میشه یعنی هر وقت در اینترنت ip valid اینترنت شبکه ما رو کسی در مرورگر وارد کنه اینترت سرور اینترنت رو میشناسه در حالی که صفحات وب ما در یک سرور دیگر در شبکه هست . سرور مربوط به صفحات وب را با vpn به سرور اینترت وصل کردیم. حالا چطوری این سرور که صفحات وب روی آن هست از طریق اینترنت قابل دسترسی هست؟

[reyhoo]

یه مقدمه ضروری:
معمولا ساختار شبکه زمانی که قرار هست به مراجعات خارج از LAN مثلا کاربران اینترنتی پاسخ داده بشه اینطوری هست که سه بخش اصلی باید وجود داشته باشه:
1- فایروال که اتصال اصلی اینترنت به اونه.
2- DMZ که سرورهایی که از بیرون قرار هست به اونها اتصال برقرار بشه مثل IIS، Mail و... داخلش قرا می گیرند.
3- شبکه LAN
DMZ و LAN با استفاده از رنج های مختلف IP از هم جدا می شن. دلیل جداسازی DMZ و LAN اینه که اگر کسی تونست سرورهای DMZ رو هک کنه دسترسی مستقیم به LAN پیدا نکنه.

و اما سوال شما:
اگر IP Valid رو به مودم ADSL دادید، Port Forwarding رو برای پورت 80 به فایروالتون برقرار کنید. روی فایروال هم Rule تنظیم کنید که کسانی که از بیرون روی پورت 80 اومدن رو بفرسته سراغ سرور IIS. اگر تنظیمات DNS رو درست انجام داده باشین اتصالتون راحت انجام میشه.
متوجه این هستم که شما ظاهرا روی شبکه تون سرور فایروال ندارین ولی به دلیل خطرناک بودن این نوع کار کردن، با در نظر گرفتن فایروال براتون توضیح دادم.

[javadkey]

یه مقدمه ضروری:
معمولا ساختار شبکه زمانی که قرار هست به مراجعات خارج از LAN مثلا کاربران اینترنتی پاسخ داده بشه اینطوری هست که سه بخش اصلی باید وجود داشته باشه:
1- فایروال که اتصال اصلی اینترنت به اونه.
2- DMZ که سرورهایی که از بیرون قرار هست به اونها اتصال برقرار بشه مثل IIS، Mail و... داخلش قرا می گیرند.
3- شبکه LAN
DMZ و LAN با استفاده از رنج های مختلف IP از هم جدا می شن. دلیل جداسازی DMZ و LAN اینه که اگر کسی تونست سرورهای DMZ رو هک کنه دسترسی مستقیم به LAN پیدا نکنه.

و اما سوال شما:
اگر IP Valid رو به مودم ADSL دادید، Port Forwarding رو برای پورت 80 به فایروالتون برقرار کنید. روی فایروال هم Rule تنظیم کنید که کسانی که از بیرون روی پورت 80 اومدن رو بفرسته سراغ سرور IIS. اگر تنظیمات DNS رو درست انجام داده باشین اتصالتون راحت انجام میشه.
متوجه این هستم که شما ظاهرا روی شبکه تون سرور فایروال ندارین ولی به دلیل خطرناک بودن این نوع کار کردن، با در نظر گرفتن فایروال براتون توضیح دادم.

1-یعنی سرور اینترنت در واقع همان سرور فایروال باشه؟
2- اگر شبکه DMZ و LAN با استفاده از رنج های مختلف IP از هم جدابشن چطوری فایروال درخواست های IIS رو به سرور IIS ارسال کنه؟
3- بر روی سرور فایروال باید DNS نصب باشه درسته ؟ حالا آیا روی سرور فایروال IIS هم با ید نصب باشه؟

[DaNi_84]

سرور اینترنت همون روتر هست اینجا که با توجه به روتهایی که براش تعریف میشه درخواستها رو مسیریابی میکنه
و در صورت داشتن Invalid IP بر روی IIS باید Destination NAT هم روی روترتون تعریف بشه

[javadkey]

فرض کنیم ما یک کامپیوتر رو به اینترنت وصل کردیم که نرم افزار اکانتینک هم رو این کامپیوتر نصب کردم تا به عنوان سرور اینترنت استفاده کنیم
سوال اینجاست که اگه رنج آی پی سرور اینترنت با DMZ یکی باشه شبکه LAN چطوری میتونه به سرور اینترنت وصل بشه ؟ آخه در بالا گفته شد باید رنج آی پی DMS و LAN متفاوت باشه !

[javadkey]

در شبکه ای که اینترنت روس ایزا هست و کلاینتها با VPN از آن اینترنت میگیرند آیا در قسمت DMZ این شبکه اگر وب سرور را پابلیش کنیم آیا نیاز هست که این وب سرور موجود در DMZ را هم با VPN به ایزا وصل کنیم تا اینترنت بگیرد یا نیازی به بودن اینترنت روی وب سرور موجود در DMZ نیست؟

[reyhoo]

1-یعنی سرور اینترنت در واقع همان سرور فایروال باشه؟
2- اگر شبکه DMZ و LAN با استفاده از رنج های مختلف IP از هم جدابشن چطوری فایروال درخواست های IIS رو به سرور IIS ارسال کنه؟
3- بر روی سرور فایروال باید DNS نصب باشه درسته ؟ حالا آیا روی سرور فایروال IIS هم با ید نصب باشه؟

1- در این سناریو، سرور اینترنت همون سرور فایرواله که به شکل 3leg نصب میشه. یعنی سه تا کار شبکه داره. یکی متصل به اینترنت(مودم اینترنت)، یکی متصل به سرورهای DMZ و یکی هم متصل به Lan. بدیهیه که هر کدوم از leg ها از range ip مربوط به اون شبکه ای که بهش متصل میشه ip می گیره.
2- سرور اینترنت خودش در DMZ قرار می گیره. با توضیحات بالا باز هم مشکلی هست در این مورد؟
3-سرور فایروال نیازی به DNS نداره و میتونید DNS Server رو برای اون سرور AD تعریف کنید که به او Join شده. (البته اگر بخواهید فایروالتون رو join به domain کنید). فایروالها مثل TMG خودشون موقع نصب role های مورد نیازشون رو نصب می کنند. نگران اون مورد نباشید.
بازهم یادآوری می کنم: توی سناریویی که براتون توضیح دادم کلا یک IP Valid بیشتر نداریم که اون هم روی ADSL Modem گذاشتیم.

[javadkey]

در این سناریو، سرور اینترنت همون سرور فایرواله که به شکل 3leg نصب میشه. یعنی سه تا کار شبکه داره. یکی متصل به اینترنت(مودم اینترنت)، یکی متصل به سرورهای DMZ و یکی هم متصل به Lan. بدیهیه که هر کدوم از leg ها از range ip مربوط به اون شبکه ای که بهش متصل میشه ip می گیره.
2- سرور اینترنت خودش در DMZ قرار می گیره. با توضیحات بالا باز هم مشکلی هست در این مورد؟
3-سرور فایروال نیازی به DNS نداره و میتونید DNS Server رو برای اون سرور AD تعریف کنید که به او Join شده. (البته اگر بخواهید فایروالتون رو join به domain کنید). فایروالها مثل TMG خودشون موقع نصب role های مورد نیازشون رو نصب می کنند. نگران اون مورد نباشید.
بازهم یادآوری می کنم: توی سناریویی که براتون توضیح دادم کلا یک IP Valid بیشتر نداریم که اون هم روی ADSL Modem گذاشتیم.

1-یعنی ما در شبکه داخلی اگه دومین داشته باشم فایروال باید جزو این دومین باشه ؟ اگه باشه میتونه با DMZ ارتباط برقرار کنه ؟
2-اگه عضو دومین داخلی نباشه فایرول میتونه با شبکه LAN ارتباط برقرا کنه؟
3- سرور آنتی ویروس جزو کدام شبکه باید باشه؟
4- در شبکه اگر database در DMZ باشه ، نرم افزاری که به این دیتابیس وصل میشه اگه در شبکه LAN باشه چطوری نرم افزار به دیتابیس وصل میشه؟ ( با توجه به رنج آی پی متفاوت)
5- با توضیحات بالا من متوجه شدم که سرور DNS باید در شبکه LAN باشه . درسته؟

[reyhoo]

1-یعنی ما در شبکه داخلی اگه دومین داشته باشم فایروال باید جزو این دومین باشه ؟ اگه باشه میتونه با DMZ ارتباط برقرار کنه ؟
2-اگه عضو دومین داخلی نباشه فایرول میتونه با شبکه LAN ارتباط برقرا کنه؟
3- سرور آنتی ویروس جزو کدام شبکه باید باشه؟
4- در شبکه اگر database در DMZ باشه ، نرم افزاری که به این دیتابیس وصل میشه اگه در شبکه LAN باشه چطوری نرم افزار به دیتابیس وصل میشه؟ ( با توجه به رنج آی پی متفاوت)
5- با توضیحات بالا من متوجه شدم که سرور DNS باید در شبکه LAN باشه . درسته؟

1- سرور فایروال رو میتونید به domain موجود در شبکه Lan در صورت تمایل join کنید. میتونید هم نکنید. به این توجه کنید که اگر فایروالتون TMG باشه و در ضمن سیاست سازمانتون این باشه که از کاربران بر اساس username بخواهید log بگیرید باید حتما join باشه. در غیر این صورت بر اساس ip میتونه log بده.
2- دسترسی به lan که ارتباطی به join بودن به domain نداره!
3- با توجه به access rule که توی فایروالتون تعریف می کنید هیچ مشکلی برای دسترسی database موجود در DMZ با شبکه Lan میتونه به وجود نیاد. در واقع در این حالت و با توجه به قواعد دسترسی تعریف شده فایروال میتونه rote انجام بده بین دوشبکه متفاوت.
4- DNS شبکه Lan که مسلما باید توی خود Lan باشه ولی DMZ هم در صورت نیاز میتونه برای خودش سرور DNS مجزای خودش رو داشته باشه

[mmahmoodi]

با سلام
چند سوال مرتبط: 1- آيا ميشه با دو سرور اين کارها رو کرد مثلا يک سرور باشه (dhcp-dns-domain-iis) با invalid ip و سرور دوم باشه tmg با invalid ip و دو تا کارت شبکه که يکي به adsl وصل ميشه يکي هم به lan داخلي و يک مودم adsl با valid ip اين راحل ميشه ديگه نه ؟

2- حالا براي ارتباط شبکه بيرون با iis داخل مودم adsl بايد dmz رو تنظيم کرد با دادن invalid ip iis و همچنين يک رول براي ارتباط ازبيرون به داخل در tmg درسته ؟

[reyhoo]

با سلام
چند سوال مرتبط: 1- آيا ميشه با دو سرور اين کارها رو کرد مثلا يک سرور باشه (dhcp-dns-domain-iis) با invalid ip و سرور دوم باشه tmg با invalid ip و دو تا کارت شبکه که يکي به adsl وصل ميشه يکي هم به lan داخلي و يک مودم adsl با valid ip اين راحل ميشه ديگه نه ؟

2- حالا براي ارتباط شبکه بيرون با iis داخل مودم adsl بايد dmz رو تنظيم کرد با دادن invalid ip iis و همچنين يک رول براي ارتباط ازبيرون به داخل در tmg درسته ؟

در مورد اول-شدنی هست ولی بسیار خطرناکه؛ وقتی قراره از بیرون به شبکه شما در هر سطحی (IIS، FTP، Mail و یا...) دسترسی پیدا بشه اختصاص DMZ از اوجب واجباته!
در مورد دوم-درسته!

[mgholami]

حتما DMZ نميخواد پس مكانيسم publish براي كيه