BEGINER: Firewall

[riha na isss.myto.cz]

Preji hezky den,

>Ak to urobim na tom stroji, kde bude
>zaroven squid,bind,ipop3d,sendmail, ci to ma vobec vyznam.
>Mojim laickym rozumom som rozmyslal (mozno chybne) ze ak dam pred tento
>stroj linux, kde bude bezat len ipchains, ze to bude bezpecnejsie. 
>Vychadzal
>som z toho, ze dost hackov pochadza z dier bindu, sendmailu a inych 
>(casto
>su tie diery sposobene aj chybou v konfiguraku).
>Preto sa pytam, ci to ma vyznam, alebo to spravit na stroji kde bezia 
>vsetky
>tie sluzby.

Presne takto si predstavuji zabezpeceni site take, proto me prekvapilo, 
ze Vam nekdo odpovedel, ze to nema smysl.
Podle me je nejdezpecnejsi, kdyz na pocitaci pripojenem k internetu bezi 
paketovy filtr, ktery (ne)prijima pakety a ty potom rozesila na 
prislusne servery uvnitr site, dle sluzby, pro kterou tyto pakety patri, 
napr na postovni server se Sendmailem.

Pokud se potom hackerovi podari napriklad diky chybe v Sendmailu 
ovladnout tento server, nebude mit stejne pristup k nastaveni firewallu 
a tudiz se nebude moct tak snadno pustit do ostatnich serveru.

Je to spatne? Takto jsem to proste pochopil, kdyz jsem se prolouskaval 
myslim firewalling howto. Pokud vite o nejakych dokumentech, kde by byly 
takoveto zaklady vysvetleny, prosim odkate me na ne, urcite je projdu...

Dik, s pozdravem B. Riha.