iptables
Dan Lukes
dan at obluda.cz
Fri Dec 19 13:04:41 CET 2003
Martyn conf. wrote:
> Internet - server FreeBSD (server) - MS windows (uzivatelske stanice,
> momentalne 3x)
>
> Co by bylo vhodnejsi na FreeBSD server nainstalovat, zda proxy ci staci
> jen ipfw (iptables,ipf...) (cili premosteni).
>
> Jde o povoleni z MS stanice prohlizet internet, stahovat postu (pop3),
> odesilat postu (smtp), pristup ke sprave databaze (default 3306). Vic
> neni treba ale nutne zakazane to byt nemusi. Primy uzivatelsky pristup z
> Internetu by mel byt vsak mozny jen na FreeBSD server (port 80, 21, 22)
> a na prac.stanici jen na jeden port pro vzdalenou spravu MS.
To do znacne miry zalezi od konkretnich podminek.
Pokud bude preferovanou hodnotou bezpecnost, pak ten stroj v podstate
nebude routovat, rozhodne nebude prekladat a spojeni ven bude probihat
pres aplikacni proxy (i Apache by v tomto pripade stacil). Spojeni na
SQL server bude protazeno tunelem.
Spojeni dovnitr bude take tunelem (nejlepe IPsec, ale i PPTP je
prijatelne reseni).
Pokud pujde o bezpecnost trochu mene, pak dobr enakonfigurovane ipfw
obvykle postaci.
Dulezity parametr je i to, s cim ma konkretni spravce zkusenosti a cemu
dostatecne rozumi.
Nestastne nakonfigurovany tunel muze pro sit znamenat v praxi daleko
mensi bezpecnost nez dobre nakonfigurovane ipfw.
Otazky bezpecnosti nemaji obecne odpovedi ... ;-(
Dan
More information about the Users-l
mailing list