Webserver - mailserver - firewall

Lidt principper.

En firewall står mellem internettet og de enheder den skal beskytte, IKKE installeret PÅ de enheder den skal beskytte, det giver nemlig ingen mening når vi taler en firewall det lavertrafik filtrering. Vil du over i en firewall der er installeret PÅ enhederne, så er det en personlig firewall og det findes ikke rigtig til linux, da en sådan betjener (bør betjene) sig af en anden teknologi. Derfor er løsningen


internet -------- Firewall -------interne net
                    |------------DMZ med Web- og Mail server

Der er masser af store opgaver på www.giac.org (bl.a. den jeg selv har skrevet) der kan give dig informationerne, problemet er at det kræver lidt søgen af finde et setup der ligner dit præcist.

Her kan du læse min opgave
http://www.giac.org/certified_professionals/practicals/gcfw/0526.php

Du bør måske også læse denne
http://www.bufferzone.dk/IT%20sikkerhed/it%20sikkerheddybden.htm

tak! kigger på det og afventer andre svar

bufferzone's er det korrekte svar.

  internet
    |
  firewall
    / \
  /  \
dmz  LAN

I DMZ skal mail + webserver stå... Du laver to net, ét til DMZ, f.eks. 192.168.0.0/255.255.255.0 og ét til LAN f.eks. 10.1.1.0/255.255.255.0

Som firewall, kan jeg anbefale IPcop eller SmoothWall Express - De tager et par minutter at installere og så kører det bare :)

Lyder alt sammen simpelt... men jeg har desværre ikk så meget erfaring med at sætte sådan noget op.. men vil forsøge mig frem

Med IPcop og SmoothWall er det simpelt :) Du skal bare huske at din firewall naturligvis skal have tre netkort - 1 til internettet, 1 til LAN og 1 til DMZ. LAN og DMZ bør sidde på en switch hver, hvis de har flere maskiner ;)

Bortsett fra at den ikke fyller opp 3 pc'er men kun en, så vil jeg anbefale SME server, hvis målet er å få opp en firewall + webserver + mail server somfungerer.

Hvis målet er å få mest mulig kunnskap om hvordan man setter opp en gateway + 2 servere, så er SME server måske ikke det beste valget, ettersom det hele rundt oppsett og konfigurering skjer ganske automatisk.

Sikkerhetsmessig så vil jeg mene at det hele kjører best hvis det hele kjøres fra kun en boks i stedet for fra 3 bokser. Grunnen til dette er at den automatiske konfigureringen som settes opp av SME server i de aller fleste tilfeller vil være bedre og sikkrere enn det en enkeltperson kan sette opp med 3 bokser mindre man har drevet med Linux i svært stort omfang.

Med SME server så blir det kun slik:

internett---sme server------LAN

På positiv og negativ side samtidig: SME server forutsetter egentlig ikke at man kan Linux da hele konfigureringen skjer automatisk via et web basert grensenitt. Man kan lære noe Linux ved at man kan se hvordan det hele kan eller skal kjøre når det hele er satt rett opp.

Negativt: SME server er nokså vanskelig å modifisere på grunn av alle de automatiske funksjonene.

Har kjørt flere sme servere i flere år, med så godt som null feil inntil nå. (Og flere servere som jeg har konfigurert selv med mange feil, he, he ..)

coderdk sin beskrivelse av prinsippene rundt dmz er ellers rett nok. Rent personlig så mener jeg at dersom det dreier seg om et lite privat nettverk så kan man veldig ofte like godt kjøre de serverene man har inne på lan, slik at det holder med en 2 port gateway.

Man kan også godt kombinere Soothwall som gateway med sme server som mail lan og web server, slik:

smoothwall---lan med smeserver pluss pcer--

Bak smotthwallen så kan man godt sette opp så mange sme server som man måtte ønske, men det vil vanligvis holde og fungere best med en.

Mulighetene er mange, men den arbeidsmengden som behøves vil kunne variere fra 1 time til flere års arbeide for å oppnå det omtrent samme ressultat, dvs en feilfri og stabilt fungerende løsning. (Manuell konfigurering av Sendmail, da har man litt å holde på med for et stykke tid ..)

Slik som jeg har satt opp tingene hjemme så har jeg delt opp nettverket i en "produktion del" som bare alltid skal fungere og en "experimental del". "Produkction del" består nå kun av en sme gateway server pluss en Asterisk telefoniserver. Tidligere så benyttet jeg også Smoothwall, og jeg brukte forskjellige dmz løsninger. Erfaringen er at en enkel sme boks gjør den enkleste og sikkreste jobben. Jeg kunne også lagt inn min telefoniserver på denne, men jeg beholder denne på en egen boks fordi jeg synes det gir en anelse bedre lyd. (Har også installert telefoniserver som option på sme serveren, men kjører med denne nedstengt, slik at jeg lar denne funksjonen bli ivaretatt av en Asterisk server inne på lan.

Min erfaring det er at det ikke behøves noen dmz løsning på et enkelt lite privat nettverk, med mindre man er ute etter å lære om dmz. En enkel server gateway er en optimal løsning for et lite privat nett.