ipchains готовые конфиги

0

0

Dear ALL,
Не подскажете где взять сабж собственно?
Надо подключить локалку из 50 компов к Сети.

Заранее благодарен,

Ссылка

←	task: настройка apache+cgi+suexec

ALT Linux Castle? Как впечатления?

→

Забыл уточнить.
Внутри сети sendmail и апач, которые должны быть доступны снаружи.

Lem_I ★
(30.04.02 15:07:09 MSD) автор топика

Ссылка

http://linux.irk.ru/06.04.1999.phtml
http://linux.irk.ru/20.06.1999.phtml

anonymous
(06.05.02 16:48:28 MSD)

Ссылка

>http://linux.irk.ru/06.04.1999.phtml
>http://linux.irk.ru/20.06.1999.phtml
>
>anonymous (*) (2002-05-06 16:48:28.564)
Хорошая ссылка.
А может где-нибудь есть типовые подключения?
Для образовательных целей?
Вот локалка(50-200 юзверей), маршрутизатор(что на нем прописано?),
затем firewall, PROXY, DNS сервер,
почтовый сервер, веб-узел, в демилитаризованной зоне.
Это же типовое подключение, наверняка где-то должно быть все
расписано(ветка такая-то -маска такая-то, ....).
Было несколько статей (как-подключить то-то и то-то, к тому-то и тому-то),
но они слишком поверхностные.
Путаюсь, вот например, маскарадинг (NAT) можно же и в ipchains прописать?
А можно и на прокси это дело возложить. А зачем вообще firewall, если, к примеру, MS PROXY 2.0 умеет фильтровать пакеты?
Есть ли подобный прокси для линукса? Это же логично объединить эти две
функции в один программный продукт. (фильтруем трафик IP, тут же
проверяем контент)?

anonymous
(07.05.02 12:37:21 MSD)

Ссылка

Эти две функции объединять не очень логично - фильтрация происходит на транспортном и сетевом уровне (или даже на канальном) а прокси это уровень приложения. Насчет M$ proxy - это @#$@$%! Еще ISA у них более-менее, только благодаря тому, что они стек TCP/IP в W2K привели в порядок (сперли из FreeBSD)

anonymous
(07.05.02 15:59:24 MSD)

Ссылка

> Эти две функции объединять не очень логично - фильтрация происходит на
>транспортном и сетевом уровне (или даже на канальном) а прокси это уровень
>приложения.
Мне все-таки представляется объединение логичным, хотя-бы по тем соображениям, что ты будешь иметь один продукт.
Насчет фильтрации на канальном уровне - разве это так?
Это же пакетная фильтрация по номерам портов.
При чем тут канальный уровень?

Lem_I ★
(08.05.02 14:26:22 MSD) автор топика

Ссылка

кстати, чтобы добраться до уровня рroxy (анализ контента), прийдется
делать ПОВТОРНО разбор трафика с самого нижнего уровня.
Т.е. более производительным решением будет совмещение
этих функций в одном продукте (анализ на уровне TCP по портам - фильтрация
трафика), и последующий анализ контента на более высоком уровне.
Тоже самое можно сказать про реализацию NAT.

Lem_I ★
(12.05.02 09:22:21 MSD) автор топика

Ответ на: комментарий от Lem_I 12.05.02 09:22:21 MSD

> кстати, чтобы добраться до уровня рroxy (анализ контента), прийдется
> делать ПОВТОРНО разбор трафика с самого нижнего уровня.

Дада. И поплатится возможностью разнести эти сервисы на разные машины а так же уровнем безопасности системы типа (все в одном флаконе). Равно как и невозможностью выбора тех компонент в системе, которые администратора устраивают больше (это я например про убогий SOCKS и пакетный фильтр в MSP).

> Тоже самое можно сказать про реализацию NAT

Нельзя. Посмотрите, где работает NAT.

ivlad ★★★★★
(13.05.02 01:15:01 MSD)

Ссылка

>oxonian (*) (2002-05-13 01:15:01.348)
>> кстати, чтобы добраться до уровня рroxy (анализ контента), прийдется
>> делать ПОВТОРНО разбор трафика с самого нижнего уровня.
>Дада. И поплатится возможностью разнести эти сервисы на разные машины а
Вы согласны, что если вам все-таки не надо разносить функции,
то такой подход будет эффективней(производительней)?
Поясните зачем их разносить?
И если, все-таки будет выбор компонент, то чем можно поплатится?
Устанвливай на разные мышины один софт и выбирай то, что тебе надо.
Я не говорю, о том как это сделано в MSPROXY, но идея чем плоха?

>так же уровнем безопасности системы типа (все в одном флаконе). Равно как и >невозможностью выбора тех компонент в системе, которые администратора >устраивают больше (это я например про убогий SOCKS и пакетный фильтр в >MSP).
Все-таки, наверное, многое зависит от реализации(я о возможности
выбора компонент).

>> Тоже самое можно сказать про реализацию NAT

>Нельзя. Посмотрите, где работает NAT.
Я не очень сильно во всем этом разбираюсь, не серчайте.
Сам по себе прокси - разве не выполняет функции NAT?
Точнее NAT - разве это не одна из функций прокси?
Т.е. юзеры в сети конектятся к прокси, он, при отправке запросов наружу
подменяет адреса и ПОРТЫ(снаружи все юзеры работают от одного IP), а при
приеме делает обратную подстановку.
Что не так? Один и тот же софт будет делать фильтрацию пакетов
и NAT(делая один раз разбор(и подстановки NAT) транспортного уровня,
наряду с фильтрацией по портам, к примеру).

Lem_I ★
(20.05.02 07:53:58 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	task: настройка apache+cgi+suexec

Security

ALT Linux Castle? Как впечатления?

→

Похожие темы