Апач и сквид

Конечно можно. А что - какие-то проблемы возникли или вопрос чисто теоретический ?

На уровне того что "один специалист сказал". Вот я и хочу разобраться. Каки здесь будут РЕАЛЬНЫЕ аргуметны против. Скажем если с точки зрения безопасности ?

безопасность системы всецело зависит от человека который её настраивал и! поддерживает.

зы: имхо :)

Факты мне надо факты. Зачем мне лирика. Пофилосовствовать я и сам могу....

какие факты ?

Откроется порт 80, будет дырка, сервак моно в даун опустить, разве не так ?

>> сервак моно в даун опустить

для того что бы этого это предотвратить есть системные администраторы. Систему надо настраивать! и в "даун" у тебя ни чего не будет уходить, если ты поставил и забыл то тут всё возможно.

Ладно. Помимо безопасности есть еще какие-либо доводы против прокси и апача на одной машине ?

>Откроется порт 80, будет дырка, сервак моно в даун опустить, разве не так ?

Конечно офтоп... но тогда лучше на серваке настроить:

iptables -P INPUT DROP

Тогда на сервак никто не пролезет по сети... даже ты, уважаемый!

это кто же тебе такое насоветовал ? Если руки крюки то как бы концерт ты не играл , всеравно будет ацтой (с) почти Крылов

>это кто же тебе такое насоветовал ? Если руки крюки то как бы концерт ты не играл , всеравно будет ацтой (с) почти Крылов

Ананимус! Я отвечаю человеку так, тока потому, что он боиться глупостей!

Конечно ничего плохого что стоит апатч и сквид!

Статистику сквида чем будешь смотреть? Правильно! Саргом... а сарг как работатет? С момощью апатча! Ну вот и ответ!

А на сервак можно навешивать стока скока ресурсы выдержат, конечно при этом не забывая про безопасность.

Mrak, спасибо за хорошие и грамотные советы. Ты говоришь по существу а не гнешь кривые понты как некоторые вышестоящие товарищи. Здесь еще следует отметить, что это апач у меня будет реальным веб-серваком, а не только для просмотра траффика. Но если здесь дело только в моще, то думаю ее хватит, тачка мощная. Главное можно ли грамотно разрулить запросы пользователей локалке на вебсервера извне через сквид (порт 3128), и запросы извне на наш веб сервер ? Не будет ли здесь путаницы. Будет ли это работать ?

> ...можно ли грамотно разрулить... Не будет ли здесь путаницы. Будет ли это работать ?
Никакой путаницы нигде не будет, все будет замечательно работать.
Для примера: на одной тачиле висят squid, apache, named, pppd, sendmail+куча всего, mysql, socks5,... Все нормально работает, никакой путаницы

> не гнешь кривые понты как некоторые вышестоящие товарищи
Товарищи гнут понты потому как они не понимают как здесь можно заблудиться и что здесь может вызвать трудности, если и так все до ужаса просто...

P.S. Это мое личное мнение.

кстати на счет безопасности , у сквида порт дефолтный смени на чтонить отличное от 3128 , что бы лишний раз левые юзвери снаружи не сканили твой сквид .

А на счет басни ;) Ну дык это батенька такие простые вещи , что просто ну никак , как грит спирит , нельзя понять какая в этом может быть ваще проблемка ;)

Кстати , не слушай всяких "не провереных" личностей , а то еще и не такое насоветуют .... Это я на счет сквида и апача .

>кстати на счет безопасности , у сквида порт дефолтный смени на чтонить
>отличное от 3128 , что бы лишний раз левые юзвери снаружи не сканили
>твой сквид .

На проксятнике просто прикрыть этот порт снаружи, да и только.
Тут еще не поднимался вопрос - есть ли у товарисча реальный ИП, чтобы
апач было извне виндно?

У товарища есть реальный IP

для каждой ситуации существует некий баланс между безопасностью и функциональностью (при постоянном "качестве администрирования")

любой сервис добавляет потенциальную возможность появления проблем с безопастностью (при отсутствии, конечно, "идеального" аудита исходников)

дырки в апаче (его модулях и т.д.) иногда находят, также как и в сквиде...

to mrak
iptables -P INPUT DROP
как и полное отсутствие ВСЕХ сервисов
теоретически не панацея!!!! и совсем не факт что никто "не пролезет"

достаточно дырявых дров от сет. карты!