17. december 2002 - 18:24Der er
19 kommentarer og 3 løsninger
Anbefal en firewall??
Hejsa.
Jeg leder i øjeblikket efter en firewall der lige passer perfekt til mig, men jeg er sq ik så meget inde i dem.
Den skal bruges på et hjemmenetværk med 2 faste windowsmaskiner (1 98 og 1 xp) samt en linux server (samba filserver, web og ftp). Samtidig sættes der fra tid til anden to bærbare til netværket. Nu ved jeg ikke om alle firewalls har det, men ovenstående må vel kræve at den har indbygget dhcp server (ret mig hvis jeg tager fejl).
Har set nogle firewalls med printserver indbygget. Dette vil jeg jo også gerne have :-). Jeg har en canon s750, hvis det skulle gøre en forskel. Hvordan vil "hastighedsforskellen" være mellem at dele printeren på windowsmaskine, linuxserver med samba og på firewall'en??
Dit problem er at du har hetværk og usikre tjenester kørende sammen. Hvis du vil beskytte det tilstrækkeligt, skal du have en firewall med DMZ og så skal de usikre tjenester placeres på DMZ benet.
Dette betyder at du er nødt til rimelig professionel løsning hvis du vil have nogen form for sikkerhed. Vi taler om en firewall af typen applikations proxy, f.eks. en Firewall 1, checkpoint, eller raptor. Du kunne kokke på Smoothwall, der vist kan håndtere DMZ rimeligt, jeg mener den er billig (måske gratis) men den kræver en seperat PC med 3 netkort for at kunne det du har brug for
Mht at køre printserver fir din firewall maskine, er det noget snavs, din firewall skal ikke løse andre opgaver eller have andet installeret, det kunne ødelægge firewallen eller give huller du ikke kan overskue. Lad være med det
tlunde: den kommer vidst ik' med printserver :D (det er ik en personlig firewall jeg leder efter).
Bufferzone: Kender du nogle steder jeg kan få mere at vide om DMZ'er. jeg kender lidt til det, demilitarized zone tror jeg nok det var, men jeg troede det var noget med flere servere og sådan.
mht. til smoothwall har jeg kigget på det, men gav op da de netkort jeg kiggede på, ikke var kompatible med linux (dem fra sandberg, tror dog de har fået en linuxdriver nu). Man kan vidst godt klare sig med to netkort - det var hvad jeg forsøgte. Og så til sidst, vil helst undgå at _skulle_ have en maskine kørende 24x7, men hvis det ikke kan lade sig gøre, så adskille serverfunktionerne fra firewall.
Ved i noget om problemer ved en samlet printserver/firewall løsning kontra en linuxmaskine med samba, der deler printeren?
Uenig i at det behøves egen firewall maskin dersom man har en moderne Linux som man kan sette opp som firewall/server/router. For tidligere versjoner av Linux, før kernel 2.4.x så var dette kanskje i større grad sant.
Har testet ut med to doble dedikert Linux firewalls med dmz segment og enkel Linux firewall med 3 kort og dmz ut fra kort 3, samt også kombinert Linux firewall/router server. Siste variant fungerer helt greit til hjemmebruk. 3 kort varianten var ganske tungvint å vedlikeholde. 2 stk Linux firewall varianten pluss egen dedikert server på dmz ga i alt 3 Linux maskiner og det blir bare for mye i en privat leilighet. Ellers greit nok å installere og vedlikeholde.
Anbefaling:
Bruk Linux maskinen som kombinert firewall/router/server. KOnfigurer ved hjelp av iptables. Ut fra de firewalling egenskapene som finnes i kernel 2.4.x så fungerer dette helt ok.(Bruker dette hjemme nå.)
Kernel og de basisfunksjoner som finnes i LInux gir packet filtering og statefull filtering. Ønsker man også filtering på application level så kan Squid også dette.
Man behøver ikke å bruke noen dedikert firewall distribusjon. Red Hat 7.3 er helt ok. Filtering funksjonene ligger jo stort sett i kernel og ikke andre steder. (I den del av kernel som heter netfilter: http://www.netfilter.org )
En Linux maskin til det hele. Routing/firewall/server.
Desuten: finnes det firewalling egenskaper i ADSL modem eller liknende, hvilket det normalt gjør, i hvert fall i cisco 677 og Netopia ett eller annet som jeg har brukt, så anvend dette i tillegg.
Installer ellers også Zone Alarm eller noe tilsvarende enkelt på invendige Windows maskiner, slik at du får et varsel hvis noen mot formodning skulle komme gjennom forwarding filtering på Linux. (Vil normalt ikke skje.)
Mht DMZ har jeg vist nogle dokumenter liggende et eller andet sted, jeg prøver at kikke og vender tilbage hvis jeg finder dem. Ellers kan jeg sikkert selv beskrive princippet fyldestgørende
Kjenner ikke til Zywall, men har prøvd liknende greier. De fleste firewalls/routere i denne prisklasse støtter bare stateless inspection filtering. En riktig konfigurert Linux maskin kan ha firewall funksjoner som er likeverdige eller bedre enn ganske dyre hardware firewalls. Linux støtter tradisjonell filtering alle typer, statefull inspections, og application firewalling og det hele er gratis. Man kan videre spesifisere eksakt slik som man vil hvilke firewall funksjoner som skal gjelde for de interne prosesser i linux serveren selv og hvilke som skal gjelde for de maskiner som befinner seg på lan. Dette kunne man ikke tidligere. Behovet for å sette opp en DMZ er etter mitt syn nå for tiden mindre enn det som det var tidligere. Tidligere i kernel 2.2.x/ipchains så satte man felles filtering rules for interne prosesser og for lan, og da var vel situasjonen sånn sett en annen. Man vil vel ellers stadigvekk benytte DMZ og sikkerhet i flere nivåer for profesjonelle anvendelser og der det stilles store krav til sikkerhet, men til alminnelig hjemmebruk ..
PC med 3 nettverkskort er også en variant. Det nettverkssegmentet som serverne kjører på kalles dmz. Du sparer en PC i forhold til å kjøre en løsning med to firewalls og dmz med server mellom de to firewalls. Løsningen er imidlertid litt vanskelig å konfigurere og sette opp. http://www.firewall-1.org/2001-01/msg01379.html
hehe.....man skal bare være væk et døgn og så er der fyldt med svar....skal nok se at få dem læst.
Har dog lige et ekstra spørgsmål. Da mit budget ikke er det største så taler det for en billig løsning. Det kan være enten en Linux router/firewal/server eller en ekstern firewall, men hvad med en ekstern router? Hvad mangler der af funktionalitet i forhold til en "alm." firewall??
tak for hjælpen! Håber i er tilfredse med pointfordelingen :)....jeg kunne bruge meget af det i siger....nu skal jeg bare igang med alt den dokumentation.....:D.....
Tror jeg prøver en sidste gang med Linuxløsningen.....der går alligevel et stykke tid før jeg får råd til en firewall/router - det er trods alt jul :)
"men hvad med en ekstern router? Hvad mangler der af funktionalitet i forhold til en "alm." firewall??"
Er ikke helt sikker på om jeg skjønner spørsmålet.
Kjører selv en løsning først med et adsl modem som også inneholder firewall og routing funsjon. Denne er koplet til internett.
Bak denne så kjører jeg en Linux som både ivaretar server, roting og firewall funksjoner. Firewall funksjonen i Linux er betydelig mere avansert enn den som finnes i adsl modemet av type Netopia.
Hos Linux kernel 2.4.x så kan man spesifisere nøyaktig og enkeltvis firewall filtreringsregler som følger:
1. Inn fra internett til server funsjonene på Linux. 2. Ut fra lokale serverfunsjoner på Linux og ut til Internett, slik at for eksempel trojanske hester kan sperres inne. 3. Inn fra internett og videre inn på Lan. 4. Ut fra Lan og videre ut til internett.
Videre så kan etableres "stateful inspection" for alle trafikktyper, det vil si at LInux husker hvilken trafikk som er initiert innefra, og så sørger den dynamisk for å åpne for trafikk utenfta som er svar på egen initiert trafikk.
Kernel 2.2.x og tidligere støttet i hovedprinsipp bare disse to filtreingstyper:
1. Trafikk inn til lokale serverfunksjoner og Lan. 2. Trafikk ut fra lokale serverfunsjoner og Lan.
nåå....det jeg mente med ekstern firewall var bare at det ikke er en maskine med Linux på. Vi skal jo også snakke rent praktisk, altså en en pc bruger væsentligt mere strøm end en "ekstern" firewall :), samt så har vi jo nok også det problem, at vi snakker en ældre compaq presario, som ikke har det vildeste udstyr. Det skal jo helst være stabilt.
Jeg skal ud på en kigger her i januar og se om der er nogle firewalls på udsalg.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
