Firewall

Jan Kasprzak kas na informatics.muni.cz
Úterý Listopad 6 14:31:05 CET 2001 

noe.brno na telecom.cz wrote:
: nenadale prede mnou vyvstal ukol :Mam navrhnout (a pote zkonfigurovat) firewall 
: pro celou skolu. Mame v podstate 3 site: administrativu, ekonomiku a jednotlive 
: ustavy - 99% stanic je W95/NT/2000. Pripojeni na Net je optikou s brzkym 
: vyhledem na 
: gigabit, mame ovsem i RAS na WNT. Predpoklad (pred mym prichodem) byl takovy, 
: ze firewal bude Altavista Firewall98 pro WNT, coz je ovsem 3 roky stary SW a 
: zatim se nenasel nikdo, kdo by ho rozbehal. Mely by vzniknout 2 zony - 
: "demilitarizovana" kam bycho vystrcili WEB, ftp, RAS a DNS ; ta by byla za 
: prvni casti firewalu (asi paket. filtr) a zbytek tedy ekonomika, agenda, ustavy 
: a asi opet DNS by byl v "bezpecne zone" tedy za nejakym aplikacnim firewalem. 
: Zatim si nevim rady kam pripojit ucebny a koleje. 
: Zajimalo by me principialni reseni na jinych obdobnych ustavech a opet alespon 
: principialne reseni tohoto stroje na linuxu. Uvital bych i zkusenost s vyse 
: zminenou Altavistou - ten program nebyl prave nejlevnejsi a musim pripadne 
: zduvodnit proc tudy ne.

	Pokud budete potrebovat gigabitove rychlosti, zapomente na cokoli
jineho nez packetovy filtr. Mam vyzkousene nasledujici konfigurace:

- Celeron 366, 2x 2-portova SMC Dual Etherpower, 1x EEPro100B (celkem
	5x100Mbps). routovat to stiha, packetovy filtr s asi 600 pravidly
	taky, problem je pokud chodi prilis mnoho prilis malych packetu,
	pripadne pokud se zapne connection tracking. To pak fakt nestiha.

- Dual Athlon MP @1.2GHz (Tyan Thunder K7), 1x 3c985B (Tigon II chipset),
	2x 3c982 (on-board). 100Mbitove sitovky jedou IP nad ethernetem,
	gigabitova jede 802.1Q s (zatim) ctyrmi VLANy. Momentalne bezim
	bez connection tracking, nezkousel jsem, jestli to fakt zaplni
	gigabitove rozhrani, ale asi ano. A hlavne nemam gigabitovy
	uplink ven, takze nejake zatezove testy prilis nelze delat.

	Asi je dobre si rict, k cemu takovy firewall chcete. Pokud
chcete jen odstinit script kiddies, staci vam packetovy filtr. Pokud
chcete neco vic (treba autentizaci na urovni uzivatelu), musite mit
aplikacni branu, ale pak jste zcela mimo gigabitove rychlosti.
Ovsem pokud chcete gigabitove rychlosti, nemuzete si prilis vymyslet.

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/   Czech Linux Homepage: http://www.linux.cz/ |
               #include <stdio.h>
               int main(void) { printf("\t\b\b"); return 0; }

Další informace o konferenci Linux