Hallo, Da deine Mail nicht auf der liste ankam (bisher), gehe ich mal davon aus, sie wird es auch nicht. Schade, nun antworte ich per PM _und_ auf die Liste auch noch auf den Rest deiner Mail (zwei kleine iptables-Scripte hast du ja schon bekommen). Am Donnerstag, 30. Januar 2003 18:40 schrieben Sie: [...]
Ist dies Sinnvoll ...
Jedes Weiterleiten von Ports bedeutet eine Sicherheitslücke, da ggf. auch Angreifer an die im Netz liegenden Host ungefiltert weitergeleitet werden.
Also noch einigen überlegungen werde ich es soo machen, das HTTP, FTP und Mail auf der Unixkiste liegen bleibt.
Kluger Entschluss.
AdminRemoteDesktop und MSSQL muss ich weiterleiten auf die Windowskiste.
Gut, die Ports kannst du über Masquerading weiterleiten oder aber ein VPN mit dem Linux/Unix als Server aufbauen. Wäre wohl die bessere (sicherere) Lösung. Oder machst du das über eine Direkteinwahl auf Modem/ISDN?
Und für einzelne Ports und Anwendungen gibt es manchmal auch keine (sinnvolle) Alternative. Da würde ich dann aber das Masquerading auf diese Ports und die betreffenden Hosts eindeutig beschränken. Ggf. kann man diese Rechner auch in ein separates Netzsegment hängen.
Du meinst für jeden Dienst ein eigenes Segment oder Segment für Clients und Server?
Beides wäre möglich. Aber i.d.R. reicht ein separates Segment, das nur von Linux aus erreichbar ist, für die Server, die Dienste _in_ das Internet anbieten sollen, aus. Das nennt man dann DMZ ("Demilitarisierte Zone"). -- Gruß MaxX, Quotenossi und Plenker(er) 8-)