Hy, Am 02/10/08@23:06 schrieb Al Bogner:
On Dienstag, 8. Oktober 2002 19:40 Maik Holtkamp wrote:
ich mal empfehlen:
Internet
+----------+
| FW | | eth0(DSL)| | eth1-----|-------DMZ | eth2(LAN)|
+----------+
LAN
Leider habe ich jetzt einen Rechner mehr verbraten als Du hast. Anfangs könnte man aber wahrschenlich auch die externen Services auf dem FW Rechner direkt laufen lassen und sie nur an das Interface eth1 binden.
Auf dem FW-Rechner stehen nur 800MB HD zur Verfügung. Squid und leafnode passen da also nicht darauf.
Ja[1], kanns mir schon vorstellen. Ein ernstgemeinter Tipp, steck da noch ein paar Mark in ein vernünftiges Beckup System. Für 800 MB sollte ein CDRW reichen und schau Dir mal mondo an (nein ich habe es auch noch nicht zu laufen überredet).
Da Du aber IIRC ausser ssh nix nach extern wolltest und das Gesamtnetz recht übersichtlich war ich wäre das vielleicht mit Kannonen auf Spatzen geschossen.
WIe bereits erwähnt, geht es mir nicht um die höchstmögliche Sicherheit, sondern um eine der Situation angepasste.
Ja und da reicht, bei der Config und _IMHHO_ der Vorschlag von Michael.
Das ist natürlich relaitv formuliert. Die Möglichkeit eines gezielten persönlichen Angriffes halte ich für extrem unwahrscheinlich.
ACK.
Realistisch ist aber ein Angriff durch "Script-Kiddies" und sonstigen Leuten, die nichts besseres zu tun haben und zufällig meine gerade verwendete (dynamische) IP-Adresse interessant fürs Hacking finden.
Ja. Aber was viel realistischer ist, ist IMHO das die Bude abfackelt, oder eingebrochen wird. Wir hatten das mal, alle Rechner weg :(. Die Jungs hatten aber das Streamer Band noch dagelassen. Dennoch mussten wir ca. 5-6 baugleiche Streamer ausprobieren, bis wir ein Gerät fanden, dass die gleiche Spurabweichung hatte wie unser geklauter :(. Quiteszenz: Vergiss vor lauter "Interneteinbruch" den normalen nicht;).
Die Verbindung Clients-Server soll direkt, also nicht, über die Firewall erfolgen um keine Transfergeschwindigkeitsverringerung durch die Paketfilterung entstehen zu lassen. (Ich brauche wegen Videobearbeitung hohe Transferraten zwischen Client und Server)
Die Paketfilterei nimmt nicht viel. Wenn Du einen "Hirschen" hast wirst Du es nicht merken. Das man hier und da ließt, das iptables performanter sein könnte liegt entweder an Monster Netzen (ISP) oder daran, das Linux FW/router meist auf Asbach Hardware realisiert werden (IMHO).
Ich Michaels Vorschlag folgen und die gesparte Kohle in O'Reillys Building Internet Firewalls investieren (nein nicht alles ein Exemplar reicht;))
Ich habe mich im Internet etwas schlau gemacht und man findet dort relativ wenig Beispiele zum Design, sondern sehr viel zu iptables, etc., das mir *augenblicklich* nicht viel weiterhilft. Fürs erste sollen mal die Dienste auf den Rechnern richtig verteilt werden und dann geht es Schritt für Schritt weiter.
Ja, deshalb hatte ich Dir ja Building Internet Firewalls empfohlen. Da geht es gar nicht um iptables sondern auf ... gut 900 Seiten nur ums Design. Bestimmt bei Dir (wie bei mir) völlig oversized, aber warum nicht?
Augenblick denke ich, dass folgende Lösung *allen* meinen Bedürfnissen am nöchsten kommt.
FW-Rechner: ippp0->Internet eth0->Hauptserver
Hauptserver eth0->Switch->Clients eth1->FW-Rechner
Clients eth0->Switch->Hauptserver
Damit erreiche ich eine direkte Verbindung Clients - Hauptserver ungebremst durch Paketfilter. Nachteil ist eine reduzierte Sicherheit.
Ist das eine *total* verkehrte Lösung?
Bei IIRC 2 Clients und als einzigen Dienst nach aussen ssh, IMHO nicht. [1] Ich bin ja auch eigentlich nur mit der Geschichte gekommen, weil Du mir den gesparten Rechner nicht schenken wolltest ;). -- bye maik