sslug-teknik team mailing list archive

["Tue Noergaard" <tue@xxxxxxxxxxx>]

>
> Altså således, hvis jeg forstår dig ret:
>
>
>                                  Internet
>                                     |
>                                     |
>                                 Cisco router
>                                     |
>                                     |
>                                  Firewall
>                                     |
>                                     |
>                                   Switch
>          ---------------------------+----------------------
>            |        |           |        |       |       |
>           Web      PC1         PC2      PC3     ...

Korrekt!

> Lad være med ftp. Det er en frygtelig protokol, og sikkerheds-huller i
> wu-ftp er snart lige så hyppige som de var i sendmail i gamle dage.

Det vil jeg overveje, men det er da en god grund til ikke at køre ftp!

> Nixen bixen. Hvis din firewall skal fungere som firewall, så skal det
> være den, der hedder 192.168.1.2 på det netkort der sidder op mod
> routeren.  Og så laver du port forwarding fra firewallen til din
> web-server - d.v.s. firewallen skal konfigureres, så den viderestiller
> forbindelser til 192.168.1.2 port 80 til din web-servers IP adresse
> port 80.

Så kan jeg bare give alle maskiner adresser på 192.168.1.*?

> IPCHAINS HOWTO'en beskriver det vist meget godt.
>

Der vil jeg så starte!

>
> Sikkerheds-mæssigt er det altid lidt betænkeligt at have en offentligt
> tilgængelig server på samme netværks-segment som de interne maskiner.
> Hvis det lykkes nogen at bryde ind på din web server (f.eks. et eller
> andet cgi-bin program som giver dem et kommando-interface), så har de
> uhindret adgang til dit interne netværk.

Det har du ret i! Hvad gør ISP`er rundt omkring?

> Alternativet er at have tre netkort i firewall'en, og sætte web-
> serveren på sit eget fysiske netværks-segment.

Det havde jeg ikke overvejet! Det var måske en god ide.

> Jeg ved ikke hvor eksponeret din webserver er, så det er muligvis en
> risiko du vil vælge at leve med. Selv har jeg jo det hele kørende på
> den samme maskine :-)

Ikke særligt, så det ville være til at leve med!

Det drejer sig om en 512 forbindelse.. Hvad kræver det af en firewall? Jeg
har en ældre P75, med 64 mb ram. Vil den kunne klare det?

For at alle mine interne maskiner kan gå på nettet, så skal jeg bare give
dem en default gateway der peger på firewallen, og på firewallen definene en
default gateway som værende cisco routeren?

Have fun :-)

Tue


> Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed
> <henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
>                     |
>                     |          Eric S. Raymond, re. the Frontpage backdoor
>