Firewall a dalsi funkce

Adam Pribyl pribyl na lowlevel.cz
Čtvrtek Listopad 6 19:17:51 CET 2014 

On Thu, 6 Nov 2014, Michal Dobes wrote:

>
> Řeším něco podobného. A mám použitu kombinaci firewall (Mikrotik)
> a proxy serveru squid.

Ted squid prepokladam neni na tom mikrotiku? Jaky mate typ mikrotiku, 
protoze 100Mbit rozhrani mi prijdou pomerne omezujici.

> V podstatě a zjednodušeně firewall nepustí ven přímo nic, vyjma pár
> výjimek. Ven vidí jen proxy server (a nevidí dovnitř firmy, je v DMZ).
> Ten po uživatelích  vyžaduje autorizaci pomocí Kerberosu, takže v logu
> mám u každého záznamu, kdo byl na daném počítači přihlášen (používá se
> automatické přihlašování uživatelovým účtem, takže nic nikde nezadává),
> takže není problém s terminálovým přístupem.
> V proxině můžete i filtrovat kam koho ne/pustit dle url, případně přidat
> modul na ketegorizaci a filtrovat dle kategorií, případně dát i modul
> na filtraci vnitřku https.

A mate k tomu nejaky graficky vystup? Protoze to je pomerne casty 
pozadavek aby si v tom sef mohl klikat..

> Návštěvy řeší hotspot webové přihlášení, což dělá Mikrotik. Pro wifiny
> mám na to zvlášť nezabezpečené SSID jdoucí přes VLANy/VPLS na ten jeden
> centrální hotspot portál s úplnou izolací od firmy i jednotlivých
> návštěv od sebe. Na ethernetu mám 802.1x, takže cizí stroje jsou
> poslány také automaticky do guest vlany a hotspot portál.
> Soukromé krabičky zaměstnanců (mobily/noťasy) mají své třetí SSID, kde
> má každý uživatel svůj soukromý WPA2 klíč a je puštěn ven přímo
> do internetu lehce rychlostně zaříznut (a samozřejmě ne do firmy).
> Firemní krabičky se prokazují buď členstvím v doméně nebo certifikátem
> přes 802.1x na Ethernetu ina wifině a jdou pak dovnitř firmy.
> Ven mají tu proxinu (kde je použita autokonfigurace, ať se lidem vypne,
> když s noťasem cestují).
> Mikrotiky řeší i DHCP a VPNky mezi pobočkami přes GRE/IPsec. Detail,
> že jsou všude dva vedle sebe se aktivně zálohující při výpadku jednoho
> to druhý vezme vše na sebe automaticky se občas také už hodil.
> Místo Mikrotiku jde to stejné si ubastlit i linuxem, používal jsem
> předtím, ale za těch pár korun, co stojí, to nemá smysl.

Zajimave, jen pro info, jak dlouho jste to vsechno pripravoval?

> M.

Adam Pribyl

Další informace o konferenci Linux