Re: Re[2]: lug-bg: firewall design - savet za nachinastiq ripi

[stoev@xxxxxxxxxxxxxxxxx (Julian Stoev)]

On Tue, 7 Dec 1999, ripi wrote:

> Tuesday, December 07, 1999, 5:11:31 AM, you wrote:
> 
> JS> Vyzmoznostite sa prekaleno mnogo i koia shte e podhodiashta za teb zavisi
> JS> predimno ot tvoite nuzdi i ot otgovornostta na tova koeto iskash da
> JS> zashtitish.
> ili dokolko az moga da go napravq ;o)
> a ideqta e local neta da e siguren, za WEBa, dali nqkoj ste mi iztrie
> kartinkite ne mi puka, imam gi na backup ;o)

Abe ostavi tia raboti. Ako shte pravish neshto, pravi go kakto triabva. Te
mogat ne samo da ti iztriat kartinkite, no i da go izpolzuvat za vlizane
vytre po niakakyv nachin.
 
> JS> Tova koeto opisvash e vyzmozno reshenie. Obache na praktika ti taka ne
> JS> zashtitavash koj znae kolko osnovnite si uslugi. Spored men mozesh da
> JS> vkarash i niakoi ot tezi v DMZ vytre zad firewall-a. Mnogo vnimavaj s
> JS> DNS-a. Naposledyka stavat goliami provali imenno s tazi usluga.  Vyv
> JS> vsichki sluchai web i dns - na druga mashina, ne na firewall-a. Spored men
> JS> mozesh da gi slozish vytre v zashtitenata zona i da da forwardvash portove
> JS> ot firewall-a kym vytreshnata mashina(mashini). Ako maila e sendmail, i
> JS> toj zadylzitelno na druga mashina.
> uf toq DNS ne mi e mnogo qsen, ste trqbva da cheta taq nost, a kakvi
> gafove stanali?, az posledno znam che pak ima dupka i patch saotvetno
> ;o)

Da. Ima. Ama koga shte izskochi sledvashtata dupka nikoj ne moze da kaze,
no niakoi predskazvat, che shte e skoro. A dali drugi veche ne ia
polzuvat?

> JS> Spored men HOWTO-to koeto triabva da prochetesh e:
> JS> http://linuxdoc.org//HOWTO/Firewall-HOWTO.html
> JS> Tam ima i super zavyrzan primer za konfiguracia, kojto edva li ti e nuzen.
> tova go chetoh veche, vizdash dokade sam q dokaral sled prochitaneto
> :o(

E ne e chak tolkova losho opisano. Dosta e razbiraemo. ;-)

> JS> Ako firewall-a ti shte e naistina samo firewall i nishto drugo (WEB,
> JS> Squid,mail na drugi serveri), naj-dobre shte e da slozish edno OpenBSD za
> JS> firewall na edna stara mashina 486 s 32Mb RAM i 400MB disk. Ako slozish 
> JS> oshte disk, OpenBSD-to shte moze da poeme i mail, squid bez osobena
> JS> opasnost. OpenBSD spored vsichki e naj-sigurnata sistema v momenta i
> JS> naj-logichnoto e da zabiesh firewall-a imenno an OpenBSD.
> hm, ste go razgledam

Ami sled tova koeto mi pishesh za riskovete da ti triat sol na glavata,
OpenBSD kato che li stava dosta silen kandidat. OpenBSD niama remote
exploit ot 3 godnini ili neshto takova. Rock stable.

> JS> Ima i drug oshte po-ikonomichen variant za firewall - mashina samo s
> JS> floppy i na flopito eto tova neshto http://www.freebsd.org/~picobsd/
> JS> Mozesh pak da forwardvash portovete, taka che da izglezda kato che
> JS> dns,mail,squid,socks,....... sa na firewall-a. Izobshto variantite sa
> JS> bezbrojno mnogo.

Hmmm. Tova s PicoBSD maj ne e za tebe. Zabravi. Tova e ekzotika za hora
koito iskat da praviat neshtata bez pari.

> JS> Ako iskash vse pak firewall-a da e Linux, mislia, che pak triabva da
> JS> izberesh niakoia malka specializirana distribucia. Eto takiva
> JS> ftp://opensrc.org/pub/dlite/dlite.html
> JS> http://www.linuxrouter.org/
> JS> http://mulinux.firenze.linux.it/
> ha sega de, a kakvo da izbera, dali ste e ikonomichen ili ne chak
> tolkova ne mi puka, ne plastam az ;o) no ako stane probojna sigurno na
> men ste se chete konsko

Ami togava az bih se orientiral kym stabilno OpenBSD na kompiutyr kojto da
moze da izdyrzi i squid, i socks, che ako triabva i mail. Maila - na
vytreshna mashina s forward na portovete na firewall-a kym neia, taka che
otvyn da izglezda kato che maila raboti na firewalla. Maila go pravish na
Linux mashina sys qmail. Ne s sendmail, che i toi e bugav!!!!! 

> JS> Ako iskash firewall-a da e normalen kompiutyr na kojto pri zelanie da
> JS> mozesh da slozish i drugi neshta, togava za mene istinata e edna:
> JS> http://www.debian.org
> JS> Predimstvoto e vyzmozno naj-bezboleznen upgrade pri izlizane na nova
> JS> versia ili otkrivane na exploit v niakoi paket.
> JS> Debian sam shte si razpolozi paketite za koito pitash.
> uvi tova za Debiana nqma da mine - v DE sam, a tuk na pochit e Suse i
> RedHat i Mandrake, ama toj si e tipichna workstation

WOW! Ne sym ochakval takava glupost ot nemcite. Mezdu horata na Debian ima
suma ti nemci. Moze bi vse pak mozesh da opitash? Taka ili inache - spored
men ako isjash da si zelezen - otivash na OpenBSD. Tova e prosto
naj-dobria izbor za firewall. Ne viarvam niakoi da moze da kaze neshto
drugo. Simply the best!

DNS-a na druga mashina pak OpenBSD.

> JS> Ami tova e ot mene. Vyprosyt ti e za oblast v koiato mozesh da
> JS> proiaviavash tvorchestvo v ogromna stepen i syotvetno da si nosish
> JS> posledstviata. ;-)
> da da.. posledstviqta
> kofti che me natiskat sega da varsha razni raboti, a na 18ti sam v BG
> i posle v sesiq, ama "ili ste se spravim ili ste garmim" kakto vikashe
> dedo mi ;o)

Tuka az maj te butam v kofti posoka. Dokumentaciata za Linux e poveche, a
az te butam kym OpenBSD. A ti niamash vreme... Prosto ne znam kakvo da ti
kaza. Imash shans da uspeesh sys OpenBSD za 3-4 dena, ako si chat po
cheteneto.

> Blagodarq za bezsannite saveti
> 
> Best regards,
>  ripi                            mailto:ripi@xxxxxxxxxxxx

Uspeh, Ripi. I pitaj ako imash oshte vyprosi. Moze pyk i da mozem da ti
pomognem.

--JS

==================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
Otpiswaneto RABOTI !!! : Majordomo@xxxxxxxxxxxxxxxxxx UNSUBSCRIBE LUG-BG
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora