Am Freitag, 5. Mai 2006 09:53 schrieb Andre Tann:
Das LAN ist über SDSL ans Netz angebunden. Fixe IP-Adresse, keine DMZ, da derzeit noch keine Dienste von außen erreichbar sind. Die Firewall auf dem DSL-Router leitet keine eingehenden Verbindungen von außen nach innen weiter. E-Mails werden über einen fetchmail-Link ins LAN gesaugt, und von dort aus weiter verteilt. Und auf dem Mailserver läuft eben auch ein Fileserver. Vielleicht kommt ja dann doch noch dies oder das dazu, z.B. Webmail,VPN oder so. man weiis ja nie. Damit du nicht alles danach wieder ändern musst. schlage ich mal folgendes vor:
1. vernünfitge Firewall z.B. per Hand erstellte oder einfacher und nach meiner Meinung aussreichend IP-Cop mit IP-Cop könntest du auch erst einmal ohne DMZ, die Mails nach Viren scannen lassen. Dein Mailserver holt sich dann die Mails vom IP-Cop Und wenn du schon dabei bist auch gleich den Squid-Proxy einschalten 2. Fileserver und Mailserver würde ich trennen, zumindest mit Xen. Wenn der Mailserver in Zukunft doch mal von aussen erreichbar sein soll (Webmail,IMAP) ist das Risiko kleiner. Aber spätestens da würde ich mal was in die DMZ stellen, ist dank IP-Cop auch simpel.
Das ganze werde ich demnächst neu aufsetzen und u.a. mit allerlei Virenfiltern ausstatten, für Mail sowieso, und für den Fileserver hätte ich es auch gerne.
Zum Thema Fileserver: Ich gehe mal davon aus,dass die VIren über 2 Wege zum Fileserver kommen können. 1. Internet 2. Clients zu1. kommt ja dann auch über die Clients Du kannst aber auch, wenn du IP-Cop nimmst, den COP-Filter installieren,der scannt den gasamten Internetverkehr zu2.. da sollte sowieso ein Scanner drauf sein. Meiner Meinung nach reicht es am Samba-Server so 1-2mal am Tag nen scan laufen zu lassen.
-- Andre Tann
-- Mit freundlichen Gruessen Orlando Rose