sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <8o50r7$f21$1@xxxxxxxxxxxx> "Tue Noergaard" <tue@xxxxxxxxxxx> writes:
>> Nixen bixen. Hvis din firewall skal fungere som firewall, så skal det
>> være den, der hedder 192.168.1.2 på det netkort der sidder op mod
>> routeren.  Og så laver du port forwarding fra firewallen til din
>> web-server - d.v.s. firewallen skal konfigureres, så den viderestiller
>> forbindelser til 192.168.1.2 port 80 til din web-servers IP adresse
>> port 80.

>Så kan jeg bare give alle maskiner adresser på 192.168.1.*?

Nej, du misforstår mig. Du skal have 2 IP netværk: Det ene er
192.168.1.*, her sætter du cisco-routeren og din firewall's ene
ben. Det andet er det interne netværk, og hvis firewallen skal kunne
hitte ud af hvad der er hvad, så skal det bruge en anden serie IP
adresser - f.eks. 10.0.0.0 og så en netmaske på 255.0.0.0. Så får dine
maskiner på switch'en adresser der hedder 10.*.*.* 

>> Sikkerheds-mæssigt er det altid lidt betænkeligt at have en offentligt
>> tilgængelig server på samme netværks-segment som de interne maskiner.
>> Hvis det lykkes nogen at bryde ind på din web server (f.eks. et eller
>> andet cgi-bin program som giver dem et kommando-interface), så har de
>> uhindret adgang til dit interne netværk.

>Det har du ret i! Hvad gør ISP`er rundt omkring?

Bruger tre netværks-segmenter.

>Det drejer sig om en 512 forbindelse.. Hvad kræver det af en firewall? Jeg
>har en ældre P75, med 64 mb ram. Vil den kunne klare det?

Det tror jeg sagtens.

>For at alle mine interne maskiner kan gå på nettet, så skal jeg bare give
>dem en default gateway der peger på firewallen, og på firewallen definene en
>default gateway som værende cisco routeren?

Netop.


-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor