Firewall a dalsi funkce

[Petr Macek]

Dne 5.11.2014 v 09:30 Jaroslav Lukesh napsal(a):
> Zkusil jste tam dát 4 síťovky? Jedna ven, 3 dovnitř (aspoň virtuální
> eth1:0 eth1:1 eth1:2), nastavit routování, dhcp...
>
> Požadavek blokování na pevné IP je mimo, když si dá nějakou z rozsahu DHCP.
>

to posledni neni uplne pravda. Chytrejsi switche maji funkci DHCP 
snooping - port je ve stavu, kdy propousti pouze DHCP komunikaci a nic 
jineho. Kdyz se tam pripojite s nastavenou IP, tak vam nic nepojede. 
Kdyz tam probehne korektne dhcp ziskani adresy, port se odblokuje pro 
bezny provoz. Dalsi moznosti je 802.1x, ale to uz je trosku slozitejsi.

4 sitovky jsou take zbytecne (nerikam, ze to tak nejde), pokud mate 
chytrejsi switch, tak pouzijte VLANy. Treba ta vami jmenovana treti 
skupina - zadny pristup na sit a pouze internet - proste samostatna 
vlan, ktera je ukoncena na tom IPcopu a zanatovana za jinou verejnou IP. 
Druha skupina by tez mohla byt jiny IP subnet (opet jina vlan )a 
nastavena transparentni proxy s povolenim winupdate apod.

Zminovany Fortigate je pekne reseni. Pokud se nechcete prat s nejakymi 
upravami IPcop nebo spojovanim nekolika technologii (vlan, s/netflow, 
..) tak Fortigate vyresi spoustu veci za vas. Ale zadarmo to neni.

Napsal jsem si vlastni system, ktery pres web administruje uzivatele, 
dela staticke leases do DHCP, statistiky jednotlivych uzivatelu pripadne 
zpomaluje ty, kteri stahuji hodne. Klidne Vam to muzu poskytnout, ale je 
to postavene na FreeBSD a stejne by se to muselo asi upravovat pro Vas 
pripad.

Zalezi na tom kolik casu a penez do toho chcete investovat.


Petr Macek