Zmena IP adresy bez wokynek
Kovar Jan
Kovar_J na tese.cz
Úterý Říjen 1 11:31:48 CEST 2002
> > Vetsinou se budu rozhodovat mezi dvema moznostmi. Bud postavim
> > router/firewall z nejakeho slabsiho pocitace (pokud to zrovna nebude
> > stavovy firewall s 1000 pravidly na 100M siti) a sluzby
> jako web, samba
> > mail apod. sverim jinemu pocitaci/pocitacum ve vnitrni siti
> s tim, ze to,
> > co ma byt pristupne zvenku patricne DNATuju na tom firewallu. Druha
> > moznost je samozrejme dat to vsechno na jeden pocitac.
>
> Neni to az moc zjednodusujici pohled?
> Pokud mam vsechno na jednom stroji, situace je jasna. Pokud to nekdo
> nalomi, vlastni vse, pokud ten kompl umre, chcipne vse (pokud padne
> jen jedna sluzba na chybu nebo neco, tak ostatek obvykle jede).
Tahle diskuse trosku odbocila od smeru meho dotazu. Tady se predpoklada, ze
vsechno pustim natem na ten druhy server, ktery je za FW. Nikoliv. Ten dotaz
byl v tom smyslu, jestli zbytecne nainstalovany software, i kdyz treba
zrovna nebezici, muze zvysit riziko prolomeni serveru. Me slo o to, ze na
tom firewallu byl ten software nainstalovany uplne zbytecne, protoze ho
nikdo nepouzival.
A kdyz jsme u toho NATu, tak osvetlim konkretni situaci. Jedna se o skolni
sit, kde si studenti stahuji ruzne pisnicky, videa a filmy a ja mam dve
moznosti. Bud budu silne restriktivni a zamezim pouzivani vseho nebo jim to
naopak umoznim a riskuju, ze si bude kazdy delat, co se mu zlibi. Me se
nelibila ani jedna varianta, tak jsme s kolegy vymysleli treti variantu. Mit
smerovane sluzby peer-to-peer (gnutella, edonkey, direct connect ad) na
jeden pocitac, ktery bude mit jako jediny moznost pripojovat se k temto
sluzbam. Zaroven ale tento pocitac nebude mit moznost pristupovat k nasemu
serveru za FW. Predpokladame pouziti nejakeho host.denny u vsech sluzeb na
serveru, kde to bude mozne. Ma to dle nas nekolik vyhod. Vim, co se stahuje.
Stahovat se muze s tzv aktivnim pripojenim, coz nektere sluzby vyzaduji,
jinak neni moznost se pripojit a nebo silne klesa mnozstvi pouzitelnych
zdroju. Mam to na jednom PC, ktere bude vic pod kontrolou (antivirus, prava
uzivatelu atd.) Muzu udelat vzdaleny pristup na ten pocitac pro
administraci, takze administrator se muze v patek vecer prihlasit, nechat
stahovat napr. film a odpojit se. V pondeli je to hotovo. A naopak behem
vyucovani mohu jednim pravidlem zastavit jakykoliv provoz k tomuto PC a mam
jistotu, ze odjinud se mi nic stahovat nebude a tak mam linku pro vyuku.
Takze pokud se vratim k puvodnimu dotazu, myslim, ze uz bylo odpovezeno.
Pokud nejakou sluzbu na fw nepotrebuju, tak ji tam ani nedavat.
TNX
Další informace o konferenci Linux