Ciao ragazzi,

il suo stato un po 'di tempo dalla mia ultima visita qui,
non ha potuto mantenere il passo in questo settore sempre mutevoli

Avevo solo facendo ricerca sotto la mia casa a fare una vmware solaris-based-router firewall utilizzando zone - facendo un sacco di lettura su zone e revisione solaris zona funzionalità.

e adesso, sono un po 'bloccato l'interpretazione di queste ip-type \u003d condivisa e ip-type \u003d esclusivo nell'ambito della zona non globale. Voglio dire, i cant hanno solo che appartiene a una scheda NIC non globale zona senza essere stati sotto plumbed globale della zona?

Mi dispiace per questa lunga discussione, ma mi farla breve - fa qualcuno ha fatto prima?

il mio scenario è il seguente:
uno stripping down SXCE utilizzando 3-NIC - in modo che si tratterà di un 3-gambe firewall:
globale della zona \u003d interfaccia LAN, NIC # 1,
WAN, NIC # 2
DMZ, NIC # 3
e, mi piacerebbe avere anche somekind del tunnel di interfaccia tra le zone - in modo che il traffico in entrata da LAN WAN doesnt have a uscire dal NIC?

così, vi è alcuna possibilità di fare questa configurazione?

qualsiasi contributo costruttivo sarebbe molto apprezzato.

grazie.

Aggiornamento post ----- -----

Inoltre:

sulla mia attuale configurazione - mondiale sotto la zona, ho 3 schede di rete - e ognuno abbia subinterface per la zona non globale, in modo

lo0 127 / 8
lo0.1 WAN 127 / 8
lo0.2 DMZ 127 / 8
pcn0 globale 192.168.10.1/24
pcn1.0 globale 0 / 8
pcn1.1 WAN 10.0.0.1/24
pcn2.0 globale 0 / 8
pcn2.1 DMZ 172.16.0.1/24

così, tutto questo si interfaccia ip condiviso.

quello che voglio dire è che: posso solo pcn1 che appartiene alla rete WAN, DMZ pcn2 a livello mondiale, senza utilizzare la zona come ospite?

grazie

Un firewall dovrebbe essere installato su alcuni hardware dedicato, così non affrontare i problemi con Zone (non hanno mai provato ciò che è stato chiesto), in funzione del volume di traffico che si aspettano e la complessità delle regole del firewall non è necessità terribilmente aggiornati hardware, ad esempio, una workstation, un tale Blade 150. Solaris 10 è dotato di IPFilter in modo da non dover acquistare alcun software firewall.

Date un'occhiata a: Firewalling su Solaris 10 Sonia Hamilton - la vita sul digitale bikepath - sonia@snowfrog.net, Configurazione di base di iptables | spiralbound.net,
http://www.homepage.montana.edu/ ~ laris_ipf.html uni ... e http://docs.sun.com/app/docs/doc/816-4554/eupsq?a\u003dview.

HTH

ciao tony,

la ringrazio per la risposta btw

ok, firstable - vorrei né preferiscono mettere questa discussione come una fonte d'ispirazione per costruire qualcosa di diverso, in questo caso - come ho già detto - come i più a scavare la mia più profonda conoscenza Unix e Solaris a partire da una sede di progetto di costruire un solaris zona a base di firewall (utilizzando IPFilter di corso) - in modo, cerco di farlo in alcuni hardware a prima.

e, il secondo - mi piace entrare in profondità con sistema di firewalling che è quello di lavorare con sistema virtuale e virtuale router - e questo è dove il solaris zone parte entra in gioco. * Credo *

Ho parlato ad un ingegnere di Sun Microsystems di due giorni fa, piuttosto una discussione costruttiva e di ispirazione per uno, in particolare alcuni link che mi ha dato di raggiungere il mio obiettivo.

Attualmente, ho fatto circa il 70% del mio progetto, che consistono in:
1. per costruire un sistema Solaris spogliato giù con zone
2. a mettere in alcuni protocolli di routing se applicabile * *
3. mettere alcuni firewall (IPFilter) su tali zone, se applicabile * *
4. metterla in ambiente reale

essendo il 70% è un dato che i buoni progressi veramente difficile trovare alcune volte per configurare l'interfaccia logica finché non riescono a farle funzionare. ma ora sto un po 'bloccato per la costruzione di routing dinamico in virtù di tali zone, perché Quagga * IMHO * * * Non sembra bello giocare sotto b115 -, ma che è solo la mia attuale situazione - continuano a lavorare anche se è fuori. ha ancora molto da leggere e da provare.

come faccio iptables, e le altre specialità, come i sistemi di FW bene, ma - cosa questa zona ha Solaris * qualcosa * che mi piace di ottenere in modo approfondito, molto interessante

sì, avete qualsiasi altra idea per me di prendere in considerazione? Vuoi unirti a mio progetto? veramente il suo divertimento

Ciò sarebbe in contrasto con la sicurezza e la sconfitta il vantaggio di zone.
Si può guardare a questo articolo che si occupa di alcuni dei tuoi problemi:
cr: zone [Cyber Rinascimento]

Sembra vi sarà molto interessati al progetto di balestra, che vanno ben oltre l'esclusiva funzione IP.

Progetto Crossbow
http://www.opensolaris.com/use/ProjectCrossbow.pdf