iptables

Dan Lukes dan at obluda.cz
Fri Dec 19 13:04:41 CET 2003


Martyn conf. wrote:

> Internet   -  server FreeBSD (server) - MS windows (uzivatelske stanice, 
> momentalne 3x)
> 
> Co by bylo vhodnejsi na FreeBSD server nainstalovat, zda proxy ci staci 
> jen ipfw (iptables,ipf...) (cili  premosteni).
> 
> Jde o povoleni z MS stanice prohlizet internet, stahovat postu (pop3), 
> odesilat postu (smtp), pristup ke sprave databaze (default 3306). Vic 
> neni treba ale nutne zakazane to byt nemusi. Primy uzivatelsky pristup z 
> Internetu by mel byt vsak mozny jen na FreeBSD server (port 80, 21, 22)  
> a na prac.stanici jen na jeden port pro vzdalenou spravu MS.


	To do znacne miry zalezi od konkretnich podminek.

	Pokud bude preferovanou hodnotou bezpecnost, pak ten stroj v podstate 
nebude routovat, rozhodne nebude prekladat a spojeni ven bude probihat 
pres aplikacni proxy (i Apache by v tomto pripade stacil). Spojeni na 
SQL server bude protazeno tunelem.

	Spojeni dovnitr bude take tunelem (nejlepe IPsec, ale i PPTP je 
prijatelne reseni).

	Pokud pujde o bezpecnost trochu mene, pak dobr enakonfigurovane ipfw 
obvykle postaci.


	Dulezity parametr je i to, s cim ma konkretni spravce zkusenosti a cemu 
dostatecne rozumi.

	Nestastne nakonfigurovany tunel muze pro sit znamenat v praxi daleko 
mensi bezpecnost nez dobre nakonfigurovane ipfw.

	Otazky bezpecnosti nemaji obecne odpovedi ... ;-(

							Dan





More information about the Users-l mailing list