On Dienstag, 8. Oktober 2002 19:40 Maik Holtkamp wrote:
ich mal empfehlen:
Internet
+----------+
| FW | | eth0(DSL)| | eth1-----|-------DMZ | eth2(LAN)|
+----------+
LAN
Leider habe ich jetzt einen Rechner mehr verbraten als Du hast. Anfangs könnte man aber wahrschenlich auch die externen Services auf dem FW Rechner direkt laufen lassen und sie nur an das Interface eth1 binden.
Auf dem FW-Rechner stehen nur 800MB HD zur Verfügung. Squid und leafnode passen da also nicht darauf.
So hast Du eine klare Trennung zwischen Services die auch ein externer zerstören kann und dennen, die die lieben Kollegen zerschossen haben müssen ;).
Die Kollegen lassen wir mal als Bedrohung weg.
Da Du aber IIRC ausser ssh nix nach extern wolltest und das Gesamtnetz recht übersichtlich war ich wäre das vielleicht mit Kannonen auf Spatzen geschossen.
WIe bereits erwähnt, geht es mir nicht um die höchstmögliche Sicherheit, sondern um eine der Situation angepasste. Das ist natürlich relaitv formuliert. Die Möglichkeit eines gezielten persönlichen Angriffes halte ich für extrem unwahrscheinlich. Realistisch ist aber ein Angriff durch "Script-Kiddies" und sonstigen Leuten, die nichts besseres zu tun haben und zufällig meine gerade verwendete (dynamische) IP-Adresse interessant fürs Hacking finden. Die Verbindung Clients-Server soll direkt, also nicht, über die Firewall erfolgen um keine Transfergeschwindigkeitsverringerung durch die Paketfilterung entstehen zu lassen. (Ich brauche wegen Videobearbeitung hohe Transferraten zwischen Client und Server)
Ich Michaels Vorschlag folgen und die gesparte Kohle in O'Reillys Building Internet Firewalls investieren (nein nicht alles ein Exemplar reicht;))
Ich habe mich im Internet etwas schlau gemacht und man findet dort relativ wenig Beispiele zum Design, sondern sehr viel zu iptables, etc., das mir *augenblicklich* nicht viel weiterhilft. Fürs erste sollen mal die Dienste auf den Rechnern richtig verteilt werden und dann geht es Schritt für Schritt weiter. Augenblick denke ich, dass folgende Lösung *allen* meinen Bedürfnissen am nöchsten kommt. FW-Rechner: ippp0->Internet eth0->Hauptserver Hauptserver eth0->Switch->Clients eth1->FW-Rechner Clients eth0->Switch->Hauptserver Damit erreiche ich eine direkte Verbindung Clients - Hauptserver ungebremst durch Paketfilter. Nachteil ist eine reduzierte Sicherheit. Ist das eine *total* verkehrte Lösung? Albert