sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <8o3sbb$7et$1@xxxxxxxxxxxx> "Tue Noergaard" <tue@xxxxxxxxxxx> writes:

>Mens jeg venter på min ADSL forbindelse (WOL), arbejder jeg på at sætte min
>firewall og webserver op (Debian 2.2).

>Jeg har to maskiner, en til firewall (to netkort) og en webserver.

>Jeg havde tænkt at routeren var forbundet med firewall til det ene netkort.
>Derefter fra det andet netkort til min switch, og så resten af mine pc´er,
>og webserveren tilsluttet switchen!

Altså således, hvis jeg forstår dig ret:


                                 Internet
                                    |
                                    |
                                Cisco router
                                    |
                                    |
                                 Firewall
                                    |
                                    |
                                  Switch
         ---------------------------+----------------------
           |        |           |        |       |       |
          Web      PC1         PC2      PC3     ...

>Webserveren skal køre www (apache) , mail (qmail), php3/4 , mysql, og måske
>ftp.

Lad være med ftp. Det er en frygtelig protokol, og sikkerheds-huller i
wu-ftp er snart lige så hyppige som de var i sendmail i gamle dage.

>Første spørgsmål er omkring hvilke ipadresser jeg skal give de forskellige
>netkort.
>Jeg kan forstå at den Cisco 677 router der leveres med bruger nat, og at alt
>trafik sendes til 192.168.1.2. Derfor regner jeg jeg med at give den ip til
>netkortet på webserveren!

Nixen bixen. Hvis din firewall skal fungere som firewall, så skal det
være den, der hedder 192.168.1.2 på det netkort der sidder op mod
routeren.  Og så laver du port forwarding fra firewallen til din
web-server - d.v.s. firewallen skal konfigureres, så den viderestiller
forbindelser til 192.168.1.2 port 80 til din web-servers IP adresse
port 80.

>Nogle forslag  (eller henvisninger til litteratur) til hvordan jeg bedst
>griber det an?

IPCHAINS HOWTO'en beskriver det vist meget godt.

>Er det noget jeg skal være opmærksom på med ovenstående setup?

Sikkerheds-mæssigt er det altid lidt betænkeligt at have en offentligt
tilgængelig server på samme netværks-segment som de interne maskiner.
Hvis det lykkes nogen at bryde ind på din web server (f.eks. et eller
andet cgi-bin program som giver dem et kommando-interface), så har de
uhindret adgang til dit interne netværk.

Alternativet er at have tre netkort i firewall'en, og sætte web-
serveren på sit eget fysiske netværks-segment.

Jeg ved ikke hvor eksponeret din webserver er, så det er muligvis en
risiko du vil vælge at leve med. Selv har jeg jo det hele kørende på
den samme maskine :-)
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor