Zacatecnik - Firewall, proxy

Zdenek Havelka madloki na mail.cz
Neděle Listopad 4 04:48:27 CET 2001 

On 02-Nov-2001 Zkoumalek wrote:
> Mam SuSE 7.1 a rad bych nastavil firewall. Chtel bych mit paketovy
> filtr (ipchains), maskaradu, proxy (squid). Dale bych chtel nastavit
> na stejnem stroji dns tak, aby veskere pozadavky z lokalni site
> forwardoval na dns ISP.
> 
> Rad bych znal nazor odborniku - je nejaky logicky problem ve zvolene
> konfiguraci? Co vic/min tam nastavit... Jaky stroj by to mohl
> zvladnout?

Podpora syncookies.Pokud nepotrebujete zadne ze sluzeb z inetd, nespoustet
inetd (a pro jistotu sluzby v konfig. souboru zakomentovat). Nastavit
ipchains. Zkontrolovat, co vsechno prochazi pres tu proxy (kvuli ssl lze
navazovat spojeni na libovolne porty). Vsechny sluzby pro vnitrni uzivatele
nechat poslouchat jen na vnitrnim interface. U proxy si overit, ze ji
nelze pouzit zvnejsku. Pokud tam pobezi MTA, pozor na relaying. Pokud
potrebujete primar DNS pro vlastni domeny, na tom stroji pustit sekundar
a nekde na vnitrni siti primar. Pouzit arpwatch na vnitrnim interface. Povolit
ssh jen z omezeneho poctu stroju. Posilat syslog na nektery ze stroju ve
vnitrni siti a tam obcas cist. Nedavat uzivatelum ucty na ten stroj, pokud to
neni nutne. Pouzit takove demony pro sluzby uzivatelu (pop &), ktere se
neautorizuji proti systemovym uctum - zadne ucty tam uzivatelum nezakladat.
Povyhazovat rpc sluzby a portmap. Pozor na verzi ssh. Pred pripojenim k siti
pouzit tripwire a pak obcas server zkontrolovat. Pred pripojenim k siti
pripojit krizenym kabelem ke sve workstation a pouzit napr. netsaint nejdriv
na venkovni, pak na vnitrni IP. Doporucuji nastavit v ipchains pravidla pro
pocitani dat pro jednotlive PC ve vasi siti aby bylo mozno sledovat a odlisit
provoz z jednotlivych klientskych PC. Pokud tam pro PC ve vnitrni siti budete
provozovat DHCP, pridelujte jim pro konkretni MAC konkretni IP. Jestli je to
server a nechce se Vam porad tahat se s monitorem kdyz dojde k problemum,
pridat seriovou konsolu do lilo a do inittab. V jadre zapnout MagicSysReq.
Pokud tam nedejboze pobezi sendmail a ocekava se velka fronta, nebo celkove
hrozi vetsi zatez vzhledem k poctu uzivatelu a squidu, zvednout via
/etc/sysctl.conf:

fs/file-max = (v nekterych systemech je syntax fs.file-max ...)
fs/inode-max = 
neskodi taky v /usr/src/linux/include/linux/limits.h zvednout OPEN_MAX

---
Zdenek Havelka
madloki na mail.cz

Další informace o konferenci Linux