LINUX.ORG.RU

Насколько небезопасно ставить на маршрутизаторе bind squid?


0

0

Стоит локалка с внутренним сервером Bин 2000 и станции Вин 2000. Есть диалапный инет на Линуксе (RedHat 7.1), который маскарадит внутренние адреса в инет. Iptables-ом закрыто все, кроме форварда с внутренних адресов, притом открыто минимальное колличество портов, а с наружи форвард только ответные. Думаю что заперся наглухо. Вот теперь думаю установить bind и squid(или что нить подобное), чтобы освободить диалапный трафик, но для этого надо открывать порты на маршрутизаторе. Насколько это небезопасно и насколько я выиграю в скорости? Или это все таки параноя у меня насчет безопасности? Спасибо заранее всем кто ответит.

anonymous

Сквиду я не разу не видел чтоб ломали особленно если она в транспарент моде.
А Бинд надо просто в чруте держать и следить за баг репортами.
ПС: Параноя это нормальное состояние админа %)


gdenis
()

Значит не я один с этой параноей живу...:) Правильно говорят психиатры, что здоровых людей нет, есть необследованные :) Спасибо

anonymous
()

Насколько я знаю можно сказать бинду чтоб слушал только внутренний интерфейс
Если тебе нужен кеширующий нс(а в случае диалапа тебе ровно такой и нужен), то в named.conf скажи:
options {
тут твои опшенс... forward only; forwarders итд...
listen-on { 192.168.254.222; 127.0.0.1; };
};
where 192.168.254.222 это адрес твоего интерфейса который смотрит в локалку...
И никто снаружи не будет знать что у тебя тут bind ;)

В случае сквида то же самое. В конфиге есть параметры
типа...
tcp_incoming_address

узнать кто и что слушает можно командой netstat -a|grep LISTEN
И можно быть здоровым и не обследоваться ;)

Удачи!


anonymous
()

Тут все правильно??? Не катит!

в named.conf скажи: options { тут твои опшенс... forward only; forwarders итд... listen-on { 192.168.254.222; 127.0.0.1; }; };

anonymous
()

что значит не катит?
У тебя в конфиге есть раздел options
в него надо дописать строчку

listen-on { 192.168.254.222; 127.0.0.1; };

я по памяти писал мож где какой знак препинания и пропустил...

ты б документацию к бинду посмотрел на предмет listen-on
а не мои очепятки в свой конфиг писал...
ну если и так не получиться, скажи. я в доку посмотрю ;)

anonymous
()

Посмотри плиз :) Ну нет у меня на него док :(

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.