serwer do firmy

uho uho w xhost.one.pl
Pią, 21 Lis 2003, 00:44:58 CET


Cytowanie Marteen <marteen w go2.pl>:

> mam pytanie odnosnie firewalla, jakie porty i ip nalezy puszczac a co
> filtrowac zeby firmowa siec byla bezpieczna.

ja to bym zrobil forward sieci lokalnej tylko na okreslonych portach (dla
udostepnienia najpopularniejszych uslug), czyli  20, 21, 25, 80, 110, 113, 143,
443, 465, 993, 995, po to zeby glupie programy typu spyware nie mialy wyjscia
na swiat na dowolny port, chyba ze sa dosc sprytne i uzywaja tych znanych :)

> z uslug ktore maja dzialac na routerze to tylko SSH (dostep zdalny) ew squid
> ale dostep do niego tylko z sieci lokalnej.

z zewnatrz, puszczac albo 113, jesli jest ident odpalony, albo dac na niego
reject (nie drop), jesli jestes samobojca to mozesz udslonic 22, ale radze tego
nie robic, ewentualnie mozesz sobie go przypisac dla poszczegolnych ip z
ktorych moglbys sie laczyc na ten port, nie ma sensu go pokazywac calemu
swiatu

co do squida to sobie go zbindoj na eth0, a nie tak jak inni robia po
wszystkich
interfejsach jakie tylko sa
 
> w jaki sposob wlaczyc zabezpieczenia przed atakami typu Synflood, DoS, etc??

http://lukasz.bromirski.net/docs/translations/lartc-pl.html#LARTC.COOKBOOK.SYNFLOOD-PROTECT
http://lukasz.bromirski.net/docs/translations/lartc-pl.html#LARTC.COOKBOOK.ICMP-RATELIMIT

> czy do SNORT;a konieczne jest zainstalowanie MySQL, czy tez jest mozliwosc
> logowania wpisow z niego do pliku tekstowego??

no najlepiej go miec, inaczej bedzie ci trudno przegladac wyniki jakie wypluwa
snort, do tego jeszcze apache + php + ACID ew. Demarc, mozesz tez logi wysylac
tunelem na innego mysqla w internecie, ale chyba sa jakies czytacze logow z
pliku, musisz sie za nimi rozejrzec

> czy takie zalozenie filtrowania ruchu przychodzacego ze swiata wystarczy czy
> trzeba cos jeszcze trzeba ustawic??

ogolnie przydalo by sie jeszcze htb, zeby podzielic ruch sprawiedliwie dla
klientow kozystajacych z netu, no i do tego tak go uksztaltowac zeby ci port 22
nie zapychali gdy sie laczysz zdalnie

--
Tomasz Buziak, pozdrawiam ... 
# cd /pub && more beer



Więcej informacji o liście dyskusyjnej pld-users-pl