Firewall a dalsi funkce
Petr Macek
pm-conf na kostax.cz
Středa Listopad 5 12:25:46 CET 2014
Dne 5.11.2014 v 09:30 Jaroslav Lukesh napsal(a):
> Zkusil jste tam dát 4 síťovky? Jedna ven, 3 dovnitř (aspoň virtuální
> eth1:0 eth1:1 eth1:2), nastavit routování, dhcp...
>
> Požadavek blokování na pevné IP je mimo, když si dá nějakou z rozsahu DHCP.
>
to posledni neni uplne pravda. Chytrejsi switche maji funkci DHCP
snooping - port je ve stavu, kdy propousti pouze DHCP komunikaci a nic
jineho. Kdyz se tam pripojite s nastavenou IP, tak vam nic nepojede.
Kdyz tam probehne korektne dhcp ziskani adresy, port se odblokuje pro
bezny provoz. Dalsi moznosti je 802.1x, ale to uz je trosku slozitejsi.
4 sitovky jsou take zbytecne (nerikam, ze to tak nejde), pokud mate
chytrejsi switch, tak pouzijte VLANy. Treba ta vami jmenovana treti
skupina - zadny pristup na sit a pouze internet - proste samostatna
vlan, ktera je ukoncena na tom IPcopu a zanatovana za jinou verejnou IP.
Druha skupina by tez mohla byt jiny IP subnet (opet jina vlan )a
nastavena transparentni proxy s povolenim winupdate apod.
Zminovany Fortigate je pekne reseni. Pokud se nechcete prat s nejakymi
upravami IPcop nebo spojovanim nekolika technologii (vlan, s/netflow,
..) tak Fortigate vyresi spoustu veci za vas. Ale zadarmo to neni.
Napsal jsem si vlastni system, ktery pres web administruje uzivatele,
dela staticke leases do DHCP, statistiky jednotlivych uzivatelu pripadne
zpomaluje ty, kteri stahuji hodne. Klidne Vam to muzu poskytnout, ale je
to postavene na FreeBSD a stejne by se to muselo asi upravovat pro Vas
pripad.
Zalezi na tom kolik casu a penez do toho chcete investovat.
Petr Macek
Další informace o konferenci Linux