Mini-firewall til div. servere

Der findes mange forskellige løsninger på dette problem. Mit råd vil være at opsætte en netfilter linux firewall, den er gratis og I kan få hjælp til at sætte den op. Samtidig er konfigurations filer fkatisk til at overskue, hvis man gør det ordentligt fra starten.

Kan i skaffe en rimelig maskine (ikke helt ny og ikke helt gammel) med et antal netkort i, så kan netfilter fint bøåde beskytte og fordele (route) trafikken mellem de forskellige net

Nu er problemet bare, at det er et "kæmpe" netværk og disse servere/pc'ere med special software står ude blandt de almindlige arbejdsstationer. Kablingerne går gennem en del switch før de når hovedkrydsfeltet.

Så det giver vel problemer med dit forslag?

Egentlig så behøver ikke dette å være noe særlig stort problem.

Problemet er jo faktisk størrelsen og prisen på en PC dersom man ønsker å sette opp en eller flere Linux firewall/routere. Det er ellers ikke noe i veien for å for eksempel samle sammen en liten gruppe av de PC'ene som bør ha ekstra beskyttelse i et eget subnettverk og så la trafikken til disse kjøre gjemnnom en firewall router.

Det er jo ellers mulig i dag å kjøpe ganske små hardware firewall/routere for en billig penge som gjør samme jobben.

Ulempen, hvis det ern noen ulempe det er at de PC'ene som skal beskyttes må skifte IP fordi det uansett vil dreie seg om routerfunksjoner det man skal route mellom forskjellige nettverk. (Altså må den PC som skal beskyttes få en ny IP som hører med til det beskyttede nettverk.)

Dersom man eventuelt skal sette opp en hardware firewall som bare skal kunne settes inn uten å påvirke fordelingen av ip adresser, så må dette eventuelt være en "bridging firewall" (i motsetning til en routing firewall, som de fleste hardware firewalls er.)

For de eventuelt spesielt interesserte så er det vel faktisk mulig å sette opp floppyfw som bridging firewall, dvs den støtter dette. (Modifisert 2.4.x kernel.) En bridging firewall koster vel ellers normal litt penger.)

Jeg vil tro at det praktiske svar i forhold til det opprinnelige spørsmål vil være å få tak i en eller annen standard adsl router som også kan kopnfigureres til å kjøre som router i LAN to LAN mode. Dette bør man kunne få tak i for 500-1000 kr pr stykk. På basis av dette så etableres det antall beskyttede subnet som man behøver. Et subnett pr beskyttet PC er selvfølgelig mulig.

Et problem i forbindelse med slike beskyttede subnettverk det er jo at selm om disse PC'ene er beskyttet i forhold til omverdenen så kan de stadifg vekk infisere hverandre innefor det samme subnettet. Setter man opp en hardware firewall pr PC slik at det blir et subnett pr beskyttet PC så har man også stanset denne muligheten. (Og som allerede nevnt - routing firewall, dvs skifte ip, bridging firewall, dvs beholde ip.)

Har elelrs aldri prøvd å sette opp et separat subnet pr PC, men har kjørt subnett av PC'er med "ekstra beskyttelse" i grupper innefor et større nettverk og det har kjørt helt fint. Brukte Linux Netfilter.

Glemte en link: http://www.zelow.no/floppyfw/
(Kanskje ikke nødvendigvis en særlig praksisk løsning men ganske interessant for å prøve ut de fleste firewall funksjoner og muligheter i en lab sammenheng.)

Ups .. Nå rotet jeg visst lit .. floppyfw er modifisert til å utføre "string inspection", dvs kontroll av datainnhold, men den kan vel ikke ivareta "bridging firewalling" dvs firewalling innfor samme nettverkssegment. Beklager.