BEGINER: Firewall

[uhlar na fantomas.sk]

riha na isss.myto.cz wrote:
->>Ak to urobim na tom stroji, kde bude zaroven squid,bind,ipop3d,sendmail,
->>ci to ma vobec vyznam. Mojim laickym rozumom som rozmyslal (mozno chybne)
->>ze ak dam pred tento stroj linux, kde bude bezat len ipchains, ze to bude
->>bezpecnejsie.  Vychadzal som z toho, ze dost hackov pochadza z dier
->>bindu, sendmailu a inych (casto su tie diery sposobene aj chybou v
->>konfiguraku). Preto sa pytam, ci to ma vyznam, alebo to spravit na stroji
->>kde bezia vsetky tie sluzby.

-> Presne takto si predstavuji zabezpeceni site take, proto me prekvapilo,
-> ze Vam nekdo odpovedel, ze to nema smysl. Podle me je nejdezpecnejsi,
-> kdyz na pocitaci pripojenem k internetu bezi paketovy filtr, ktery
-> (ne)prijima pakety a ty potom rozesila na prislusne servery uvnitr site,
-> dle sluzby, pro kterou tyto pakety patri, napr na postovni server se
-> Sendmailem.

ano, lenze na danej sieti je jeden server a pridam tam druhu masinu iba na
firewall, je to zbytocnost. Aby ste sa mohli zabezpecit tymto sposobom,
treba mat viac serverov, na kazdom iba jednu sluzbu, spojene switchom

(kvoli sniffovaniu... ale aj switche sa daju zblbnut preplnenim ARP tabulky
a zacnu sa spravat ako huby)

-> Je to spatne? Takto jsem to proste pochopil, kdyz jsem se prolouskaval
-> myslim firewalling howto. Pokud vite o nejakych dokumentech, kde by byly
-> takoveto zaklady vysvetleny, prosim odkate me na ne, urcite je projdu...

lenze ste si dokladne nepreluskli povodnu otazku... pridanie jedneho
firewallu na ktorom budu bezat iba rediry, bezpecnost VOBEC nezvysi...

netreba zabudnut ze IP firewalling moze bez problemov bezat na masine kde su
samotne servery...
-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 Linux is like a wigwam: no Windows, no Gates and an apache inside...