Para uma correta regra de firewall na GPO, os IPs dos servidores de aplicação e banco devem ficar fora do escopo, isolando os quatro ips dos servidores dos demais da rede.
Quando dois ou mais servidores, tiverem IPs que NÃO tenham uma sequência, será necessário fazer o corte de rede, do ip 21 até o menor IP, outro corte de rede entre o menor ip e o segundo menor ip, por fim, o corte de rede do maior ip até o ip 254.
Acompanhe o exemplo abaixo:
Servidores com IP em sequência:
Servidores exemplo:
CLI-123456-AP01 = xxx.xx.xx.184 <-- Menor ip
CLI-123456-DB01 = xxx.xx.xx.185 <-- Maior ip
1º Incluir o ip com final 21 (xxx.xx.xx.21) e o ip anterior ao menor ip (xxx.xx.xx.183);
2º Incluir o ip posterior ao maior ip (xxx.xx.xx.186) e o ip com final 254 (xxx.xx.xx.254);
Solução:
xxx.xx.xx.21-xxx.xx.xx.183, xxx.xx.xx.186-xxx.xx.xx.254
Nessa solução, primeiro indicamos o bloqueio do ip xxx.xx.xx.21 até o xxx.xx.xx.183, logo após indicamos o bloqueio do ip xxx.xx.xx.186 até o 254, deixando livres os ips xxx.xx.xx.184 e xxx.xx.xx.185.
Servidores com IP fora sequência:
Servidores exemplo:
CLI-123456-AP01 = xxx.xx.xx.164 <-- Menor ip
CLI-123456-DB01 = xxx.xx.xx.174 <-- Maior ip
1º Incluir o ip com final 21 (xxx.xx.xx.21) e o ip anterior ao menor ip (xxx.xx.xx.163);
3º Incluir o ip posterior ao menor ip (xxx.xx.xx.165) e o ip anterior ao maior ip (xxx.xx.xx.173);
2º Incluir o ip posterior ao maior ip (xxx.xx.xx.175) e o ip com final 254 (xxx.xx.xx.254);
Solução:
xxx.xx.xx.21-xxx.xx.xx.163, xxx.xx.xx.165-xxx.xx.xx.173, xxx.xx.xx.175-xxx.xx.xx.254
Nessa solução, primeiro indicamos o bloqueio do ip xxx.xx.xx.21 até o xxx.xx.xx.163, logo após indicamos o bloqueio do ip xxx.xx.xx.165 até o 173, e para finalizar, bloquemos do ip xxx.xx.xx.175 até o xxx.xx.xx.254 deixando livres os ips xxx.xx.xx.164 e xxx.xx.xx.174.
Orientações
- os IPs devem ficar em ordem crescente e completos, seguindo o formato das soluções acima, separados por hífen (-) indicando o bloqueio entre cada par de Ip e vírgula (,) indicando a separação para cada regra.
- Para facilitar, anote os respectivos ips que for fazer o corte de rede, sendo o primeiro ip sempre com o final 21, e o último com final 254.
Dúvidas ou sugestões sobre esse artigo, me encontro a disposição para contato em felipe.sup.nuvem@alterdata.com.br
