Firewall a dalsi funkce

Milan Kratochvíl krata.milan na seznam.cz
Středa Listopad 5 12:25:35 CET 2014


Děkuji všem za podněty.
Mám 3 lan a mám to tak že WAN je na jedné kartě, prvá a druhá skupina na 
druhé a třetí skupina je na třetí kartě. Nejvíc mám problém s rozdělením 
té prvé a druhé, ale nenapadlo mne si pomoci virtuálními eth, to vyzkouším.
Děkuji všem
Milan

Dne 5.11.2014 10:46, Ing. Leoš Houser napsal(a):
> Dobrý den.
>
> Souhlasím s tím, že FortiGate aktuálně nabízí asi nejlepší poměr 
> cena/možnosti konfigurace v komerčních řešeních. Ale i když sítím 
> rozumíte docela pěkně, bez absolvování (nelaciného) školení od 
> Fortinetu je ale třeba nastavení IPSEC VPN docela náročné. (Moje 
> vlastní zkušenost.)
>
> Z otevřených řešení na Linuxu je to, co potřebujete, možné realizovat 
> na všech běžně užívaných distribucích Tedy na:
> - IPCopu,
> - Endianu,
> - IPFire
>
> V IPCopu se rozšíření jmenuje, tuším, Block Outgoing Traffic. To 
> umožnuje definovat přístupy na venkovní IP adresy a navázat je nejen 
> na IP adresy, ale na MAC adresy síťovek počítačů. To vám už uživatelé 
> nedokážou podle mých zkušeností obejít.
>
> Separovat od lokální sítě firewallem lze z prncipu jen oddělením, tzn. 
> poslední skupinu bych dal na jinou fyzickou síť. Nejméně práce asi 
> budete mít, pokud je dáte v IPCopu na "Oranžovou" síť.
>
> Pokud budete mít konkrétnější dotazy, kontaktujte mě na níže uvedeném 
> emailu.
>
> S pozdravem
>
> -- 
> Ing. Leoš Houser, jednatel
> AA COMPUTER, s.r.o.
> Konečná 917/25
> 360 05 Karlovy Vary
> Mob.: +420 737 107 202
> E-mail: leos.houser na aacomputer.cz
> WWW: http://www.aacomputer.cz
> Blog:    http://it-blog.cz
>
>
>
> ----- Původní zpráva ----- Od: "Petr Špatka" <petr na spatka.cz>
> Komu: "'Diskuse o Linuxu v cestine'" <linux na linux.cz>
> Odesláno: 5. listopadu 2014 8:46
> Předmět: RE: Firewall a dalsi funkce
>
>
> Jestli někdo zná rozumné free řešení toho problému, tak taky budu rád za
> info.
>
> Každopádně v komerční sféře jsem to vyřešil pomocí Fortigate
> http://www.fortinet.com/products/fortigate/index.html
> Jak jsem se díval, tak je nyní konkurence nejen dražším směrem (Cisco,
> Juniper), ale konečně i levnějším směrem (např. Netgear).
> Nevím jaké možnosti mají free řešení a jaké konkurenční, ale např. 
> fortigate
> má stránky kategorizovány a s velkou účinností lze povolit/zakázat celou
> kategorii (sociální sítě, sport, ilegální drogy, ...), dělat kouzla s
> trafficem podle IP, kategorie, podsítě, ... . Povolit/zakázat něco podle
> času a dne. Nepustí to na facebook ani přes https :-).
>
> Důležité, kolik za to chce šéf utratit peněz a kolik času toho, kdo to 
> bude
> nastavovat. V případě obvyklé varianty: chci to zadarmo a do 5 minut
> nastavování, tak bych ho opatrně odkázal na Všemohoucího, nikoliv na 
> správce
> sítě.
>
> Pokud by bylo rozhodnutí pro fortigate, tak přes soukromý mail mohu dát
> doporučení, kdo mě dobře pomáhal s počátečním nastavením. Případně 
> popsat,
> co kde drhlo a co bylo bez problémů.
>
> Petr
>
> -----Original Message-----
> From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf Of
> Milan Kratochvíl
> Sent: Wednesday, November 5, 2014 7:33 AM
> To: Diskuse o Linuxu v cestine
> Subject: Firewall a dalsi funkce
>
> Zdravim vsechny,
> mame ve firme firewall IPcop a doposud stacilo na vse. Proste jsem to
> nainstaloval, nastavil DHCP a vse doposud makalo, ale protoze nekdo 
> prilis
> vytezuje chce po mne sef udelat opatreni.
> V rychlosti popisu pozadavky nasledovne.
> udelat 3 skupiny uzivatelu, prvni pristup vsude, druha pristup jen na
> firemni siti, mail a win update (něco jako url white list) a treti zadny
> pristup na firemni siti a neomezeny pristup na internet.
> udelat automaticke statistiky kdo, kolik a kam na internetu a s tim ze 
> chce
> rovnou jmena a nikoli ip adresy.
> nepovolit komunikaci pevnym IP adresam.
> Zkousel jsem najit pro IPcop nejake rozsireni, ale protoze to neni moje
> parketa tak jsem sice nasel dost rozsireni, ale nakonec porad nemam to 
> co je
> po me pozadovano.
> Muzete mi doporucit co vlastne hledat a zda je to v IPcopu mozne nebo
> pripadne doporucit klidne i jiny firewall.
> Diky za kazde postrceni.
> Milan
>
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
>



Další informace o konferenci Linux