Сперва определяемся, какая у нас сетевая инфраструктура.

Сейчас у меня так:

Скачать: netmap-may_2012.pdf или в архиве: netmap-may_2012.zip

Например, имеется внешняя подсеть из 8 ip-адресов. Ее мы будем закрывать файерволом, это будет так называемая DMZ.

Однако, 8-и адресов нам недостаточно; нужно куда-то подсоединить еще и внутренние машины, доступ к которым напрямую из интернета не нужен, да и скорее всего, нежелателен.

Тогда мы, по здравому размышлению, должны иметь, как минимум, 2 подсети: одна - роутируемая (внешняя) и одна - нероутируемая (внутренняя), спрятанная за NAT-ом. Однако, обе подсети зафайерволены.

Файервол (он же роутер) должен дублироваться, для этого ставим две машины, соединенные с помощью CARP.

Также, будем иметь в виду, что у нас есть сервер логов, на котором крутится еще и SNORT

Даже в таком случае, для сброса логов лучше всего использовать выделенный интерфейс. Кроме того, еще один интерфейс работает как PFSync с помощью кроссового кабеля.

Для такой конфигурации находим железо с 5-ю сетевухами (два экземпляра).

Интерфейсы каждой из двух машин распределяются следующим образом:

1. внешний интерфейс;
2. интерфейс, смотрящий в сторону закрытого сегмента внешней подсети (в случае, если адреса “завернуты в роутинг” - самостоятельный IP-адрес, либо интерфейс подключенный как Bridge)
3. интерфейс, смотрящий во внутреннюю сеть
4. интерфейс для CARP и PFSync
5. интерфейс для подключения к серверу логов (в случаях тотального погирования срабатывания разрешающих правил файервола на направлениях высокоскоростных передач, поток логов может существенно нагружать как сеть, так и процессор роутера)