BSD/UnixRuterboks+mer. *BSD som OS? Kan ingenting om det.

[x-ray-cat]

Hei Jeg har tenkt å lære meg litt serverdrift samt sette opp endel tjenster som kan være nyttige.

 

Serviset sa for lenge siden at det er lurt å ikke ha for mange tjenster på en server, samt kanskje smart og ha typiske ruter og sikkerhetstjenester på en egen boks:

 

Både Free, Open, Net og de fleste andre BSDene er opensource, akkurat som GNU/Linux.

 

Det er dumt av deg å sette opp så mange tjenester på en boks. Det utgjør en meget stor sikkerhetsrisiko. Men igjen, bryr du deg om hvorvidt boksen din blir cracket?

 

Jeg brukte GNU/Linux før FreeBSD fordi jeg ikke kjente til BSD da jeg startet med GNU/Linux. Hadde jeg visst om BSD og hatt muligheten til å teste det, ville jeg mest sannsynelig droppet GNU/Linux.

 

Derfor trenger jeg hjelp til denne lille "sikkerhetsboksen" og valg og konfigurasjon av os og program.

 

Til filserver og som "hovedserver" tenker jeg å bruke denne serveren.

 

Har kjøpt meg en boks med PII med 233 mhz og 64 mb*3 ram. Hardisken er på ca. 18 gb. Er ikke så altfor rask tror jeg.

 

Hvilke tjenester vil denne boksen dra bra?

 

Av tjenester jeg vurderer å bruke på det følgende:

 

Filserver (SAMBA, NFS?) - Her tenker jeg compaqen da den har SCSI og skal utvides med store hardisker.

Webserver (Apache)

Ftp-server (sftp?)

Proxy?

Ruter

Brannmur

Mailserver

DC-hub?

Lasteserver for bittorrent, dc og emule?

Evt. Streamingsserver til lan og evt. wlan.

 

Dette er tjenestene jeg kommer på nå.

 

Hvordan burde jeg fordele tjenstene på de to boksene? Hvilken funksjonalitet bør være på hvilken boks? Hva bør "brannmurboksen" ta seg av?

 

Bør jeg gå for *BSD fremfor linux? Er helt grønn med tenkte at jeg evt. kan få veiledning her. Vil løre mer om kommandoer i linux. Derfor ønsker jeg ikke å bruke for mye tid på å lære BSD da jeg vil prioritere linux først i sommerferien.'

 

Hvilken BSD type anbefales til denne bruken?

 

Og hvordan anbefaler dere at jeg kobler det sammen? WAN-->Ruterboks-->Compaq filserver-->Klienter?

 

Kan dere anbefale serverporgram for de tjenestene jeg nevner som jeg bør sette på ruterboksen? Tenker å kjøre debian Sarge på compaq serveren.

 

Har hørt at *BSD er et godt brannmur/ruter os.

 

Skriv gjerne om hvordan jeg kan fjernstyre den og anbefalt software til dette.

 

Hva er VPN og vil VPN være praktisk å bruke på serveren?

 

Setter pris på bidrag. Håper denne tråden kan hjelpe meg i å sette opp en BSD-boks for å beskytte nettverket og serveren samt og tilby brannmurtjenster som er mer ideelt å ha på denne boksen fremfor den store serveren.

 

Mvh.

[stigfjel]

BSD egner seg SVÆRT godt til brannmur, bedre enn GNU/Linux. Skal du sette opp en brannmur, dropp GNU/Linux og gå for FreeBSD eller OpenBSD. Brannmurboksen kan også være en DHCP-server uten at den skal få for mye å gjøre. Selv kjører jeg FreeBSD med ipfw på min brannmur. Men FreeBSD med pf (OpenBSD-brannmuren) og OpenBSD med pf er også gode valg.

[olear]

Serviset sa for lenge siden at det er lurt å ikke ha for mange tjenster på en server, samt kanskje smart og ha typiske ruter og sikkerhetstjenester på en egen boks:

 

Det har han helt rett i, på de tjenester du spesifiserer ville jeg iallefall brukt tre servere (helst en egen server for mail).

 

Filserver (SAMBA/NFS osv)

 

Webserver (Anbefaler LightTPD framfor Apache hvis ytelse er viktig)

Mailserver (helst egen server)

 

Brannmur (OpenBSD?)

 

OpenBSD er kjent for å være god til brannmur så du kan sikkert sjekke ut den, jeg har minimalt med erfaring med OpenBSD så kan nok ikke være til så mye hjelp der.

[x-ray-cat]

BSD egner seg SVÆRT godt til brannmur, bedre enn GNU/Linux. Skal du sette opp en brannmur, dropp GNU/Linux og gå for FreeBSD eller OpenBSD. Brannmurboksen kan også være en DHCP-server uten at den skal få for mye å gjøre. Selv kjører jeg FreeBSD med ipfw på min brannmur. Men FreeBSD med pf (OpenBSD-brannmuren) og OpenBSD med pf er også gode valg.

6175188[/snapback]

 

Ja det er det jeg har hørt. Derfor tenker jeg å velge en BSD til brannmurboksen.

 

På brannmurboksen er vel Ruterfunksjonalitet på sin plass: Firewall, DHCP, Proxy?

 

Kan dere fortelle litt om hvordan jeg kan fjernstyre en slik boks?

 

Og hva er forksjellene på Open/Free/Net BSD? Og hvilken av dem vil dere anbefale? Fortell gjerne hvorfor.

 

Hva er VPN? Det er jo en typisk ruterfunksjon? Er det ikke?

 

Bør jeg ha FTP og Webserveren samlet på Compaq serveren jeg tenker å kjøre Debian på?

 

Hvorfor bør jeg ha mailserveren på en egen boks? Er jo ny og hadde håpet at det hadde blitt sikkert nok med to bokser da jeg ikke har for mye penger.

 

Compaqen har SCSI-disker samt tape-stasjon hvis det er på grunn av sikkerhet med henhold til krasjo du anbefaler mailserver på egen boks.

 

Anbefal gjerne pprogramvare til de forskjellige tjenestene.

 

Er det de samme programmene som går igjen på alle BSD-ene? Slik som på linux? Er alle BSD-versjonene likt bygget? Er det på en måte forskjellige distroer av hverandre?

 

Duger hardwaren min til de forskjellige tjenestene hvis jeg fordeler dem fornuftig på de to boksene?

 

For specsene på Proliant serveren, se linken til den tråden. Hvis dere kan bidra i den tråden setter jeg pris på det også da det har gått en god stund uten at jeg har fått svar i den

[stigfjel]

Man kan fjernstyre en slik boks med SSH. VPN kan være en fin ting å bruke hvis man skal fjernstyre denne boksen. Da må man logge seg inn via VPN før man evenutelt kan bruke SSH. Men skal man gjøre forandringer på brannmur-reglene eller NAT, må man logge seg på maskinen fysisk (altså ikke via SSH eller andre fjernpåloggingstjenester).

[x-ray-cat]

Man kan fjernstyre en slik boks med SSH. VPN kan være en fin ting å bruke hvis man skal fjernstyre denne boksen. Da må man logge seg inn via VPN før man evenutelt kan bruke SSH. Men skal man gjøre forandringer på brannmur-reglene eller NAT, må man logge seg på maskinen fysisk (altså ikke via SSH eller andre fjernpåloggingstjenester).

6176551[/snapback]

 

 

Ok. DNS skal også evt. brukes. Men kan du svare på det andre jeg lurte på? Angående maskinvaren f.eks.

 

Og forskjellene på BSD'ene

[olear]

Og forskjellene på BSD'ene

 

The aim of the FreeBSD project is to produce an operating system usable for any purpose. FreeBSD is intended to run a wide variety of applications, be easy to use, contain cutting edge features, and be able to handle heavy-load servers. FreeBSD is free and open source, and the project prefers the BSD license. However, they do sometimes accept non-disclosure agreements (NDAs) and include closed-source binaries in their source tree, in order to support the hardware of companies who do not provide public documentation about their products.

 

OpenBSD focuses on security, correctness, and being as free as possible. Security policies include revealing security flaws publicly, known as full disclosure; thoroughly auditing code for bugs and security issues; various security features, including the W^X page protection technology and heavy use of randomisation; a "secure by default" philosophy including disabling all non-essential services and sane initial settings; and integrated cryptography, originally made easier due to relaxed Canadian export laws in comparison to the United States. Concerning software freedom, OpenBSD prefers the BSD or ISC license, with the GPL acceptable only for existing software which is impractical to replace, such as the GNU Compiler Collection. NDAs are almost never considered acceptable. This has led to the foundation of a number of child projects to replace restricted alternatives, including OpenSSH and CARP, as well as campaigns to persuade hardware vendors to release documentation. In common with its parent, NetBSD, OpenBSD strives to run on a wide variety of hardware.

 

NetBSD's primary aim is portability. It runs on a large number of hardware systems and interoperates well with many others. The NetBSD project prefers the NetBSD license, and tries to avoid encumbering licenses when possible. NetBSD seeks to be well-designed, stable, and fast, and to conform to open standards when practical.

 

http://en.wikipedia.org/wiki/Comparison_of...erating_systems

[stigfjel]

Maskinen du har tenkt å bruke, vil være tilstrekkelig nok. FreeBSD er nok det operativsystemet som vil være enklest å begynne med, og FreeBSD Handbook er svært god å ha som dokumentasjon. Om du vil bruke ipfw eller pf er akkurat det samme. OpenBSD kan fremstå som vanskeligere i starten. Installasjonen av OpenBSD er en del mindre brukervennlig enn installasjonen av FreeBSD. Men både FreeBSD og OpenBSD har glimrende dokumentasjon. Du kan fint droppe grafisk brukergrensesnitt (X.Org).

Endret 25. mai 2006 av stigfjel

[x-ray-cat]

Ja. Tenker å droppe grafisk brukersnitt både på *BSD installen og på Debian installen. Men da trenger jeg sikkert endel hjelp her i begynnelsen slik at jeg får lært meg kommandoer. Er vant med Ubuntu fra *nix verdenen samt har ellers spurt om hjelp når det gjelder kommandolinja da jeg ikke har så stor forstålse for meldingene jeg får og hva dem betyr.

 

Jeg kommer også til å kjøre mysql pg php på webserveren.

 

Men går det greit å ha mailserveren på en av disse to boksene? Hvilken vil dere anbefale å ha dette på? Og hvorfor anbefale dere meg å ha mailserver på egen boks?

[stigfjel]

Ville i hvert fall ikke anbefalt å ha mailserveren på brannmuren. Den maskinen må være så ren som overhodet mulig. Eventuelt kunne du jo installere Solaris istedet for Debian på den kraftigste serveren din og bruke containers til de forskjellige oppgavene du skal løse. Da kan du ha flere forskjellige tjenester på hver sin virtuelle maskin og du ville ha sluppet unna sikkerhetsproblematikken ved å kjøre flere tjenester på hver maskin. Bare en tanke, men likevel... Og hvis du bruker nyeste utgave av Solaris Express, får du ZFS, Sun sitt splitter nye filsystem med muligheter ingen andre kjente filsystem har i dag.

 

Edit: Det er viktig å påpeke at Solaris kan kjøre de fleste programmer som man er vant med i GNU/Linux.

Endret 25. mai 2006 av stigfjel

[olear]

Men går det greit å ha mailserveren på en av disse to boksene? Hvilken vil dere anbefale å ha dette på? Og hvorfor anbefale dere meg å ha mailserver på egen boks?

Den største grunnen til at jeg anbefalte å ha en egen mailserver var først for å spre tjenestene, for mye på en server er ikke bra (er ikke artig når et hull i en webside drar ned f.eks mail osv). Den andre grunnen er at mail kan være veldig krevende (spesielt minne), men det spørs så klart på mengden mail, brukere osv. Du kan nok fint kjøre mailtjenester sammens med andre.

 

Siden du bare har to maskiner så ville jeg ha gått for en ren brannmur på PII'en og alt annet på PIII'en.

[x-ray-cat]

Men går det greit å ha mailserveren på en av disse to boksene? Hvilken vil dere anbefale å ha dette på? Og hvorfor anbefale dere meg å ha mailserver på egen boks?

Den største grunnen til at jeg anbefalte å ha en egen mailserver var først for å spre tjenestene, for mye på en server er ikke bra (er ikke artig når et hull i en webside drar ned f.eks mail osv). Den andre grunnen er at mail kan være veldig krevende (spesielt minne), men det spørs så klart på mengden mail, brukere osv. Du kan nok fint kjøre mailtjenester sammens med andre.

 

Siden du bare har to maskiner så ville jeg ha gått for en ren brannmur på PII'en og alt annet på PIII'en.

6179238[/snapback]

PIII har 1800 ram. Og mail er jo noe jeg lagrer og evt. tar backup av. Derfor passer det jo bra å ha det på den boksen.

 

Men hva legger dere i ren brannmur? Inkluderes da dhcp og i brannmur? Er proxy noe som hører med til på gatewayen? Har en trådløs dlink 626. Mener jeg har sett at den har VPN funksjonalitet. Vil dere anbefale å ha VPN på den? Hvis jeg skal ha mulighet til å konfigurere begge boksene via WAN, må jeg innstallere putty ssh på begge og kan jeg komme til lagringsserveren hvis den har bak brannmurboksen med VPN på?

 

DNS hvor hører det hjemme? Jeg assosierer det litt med ip og sånt så brannmurboksen er vel kanskje grei til det? Ser for meg at disse tjesestene ikke krever så altfor mye hardware, og at det er så mye å miste hvis boksen tar kvelden.

 

På denne boksen er det vel en ide disk. Mulig den kun er ata 66. Hvis denne boksen står på 24/7, samtidig som den kjører disse tjenenestene, er sjansen for hardiskkrasj stor siden dette ikke er en disk beregnet for serverbruk?

 

Vurderer også å sette i et trådløs nettverkskort i en av boksene slik at jeg kan bruke det som trådløs AP. Tenker gatewayen da, men er det lite taktisk hvis denne står i brannmurboksen? Vil man kunne gå forbi brannmuren kortet er i samme boks?

 

Jeg tenker WAN--->PII Gateway--->PIII Lagringsserver (Mail og Mysql hører vel til her)--->Klienter

 

Av klienter i lanet kommer det til å være fra en til 4-6 maskiner.

 

Fra nettet blir dette besøkende av evt. framtidig webside, 1-10 besøkende av ftpserver, tilsvarende medlemmer hvis jeg setter opp dchub.

 

Og jeg kommer til å fjernkoble meg til den.

 

En evt. mailserver kommer nok kun til å ta seg av mail til 1-6 brukere.

 

Når det gjelder lasteserverbruk, er det vanlig å innstallere en bittorrent eller p2p-klient og starte programmet og nedlastninger via. fjernkobling?

 

Eller går det å an å sette opp en slags tjenerfunksjonlitet eller gjøre slik at nedlastningene jeg starter via en nedlastningsklient på min bærbare pc havner i en mappe på en server? Kan jeg gjøre gjøre dette selv om jeg maskinen ikke er i lan med serveren. Gjennom internett? I windows har jeg en katalog som ligger på en annen pc. Da blir plasseringen \\katalog\katalog\mappe. Går det an å gjøre det slik at det blir Ipadresse\katalog\katalog eller domene\katalog\katalog?

 

Er det proxy jeg bruker til dette?

 

Jeg har 6 mbit/6 mbit og får sikkert noe linjene på studenthybelen. Da ville det være kult hvis jeg via et nedlastningsprogram på den bærbare kunne starte nedlastninger som havnet på serveren hjemme. Har også en UPS liggende.

 

Ellers forsto jeg ikke så mye av forskjellen på ssh og vpn på wikipedia. Fikk inntrykk av at det var to ting av samme sak. Kan dere forklare litt om dette?

 

Og med fjernkobling får jeg opp programmer og slikt på den pc'en jeg bruker eller er det bare kommandolinje? Og når man kjører uten grafisk brukergrensesnitt, er det ikke brukergrensesnitt i programmene heller eller er det bare i operativsystem det mangler brukergrensesnitt?

 

Open Solaris hørtes bra ut. Men jeg tror jeg går for Debian slik jeg får lært meg litt linux uten grafisk brukergrensesnitt. Så kan jeg evt. ta det i bruk når jeg blir litt mer dreven og ønsker nye utfordringer.

 

Har søkt meg inn på it-drift. Antar at jeg lærer å sette opp og drifte tjenster med forskjellige operativsystem der. I tillegg lærer man visst også java og mysql.

[stigfjel]

En "ren" brannmur kan bestå av brannmurfunksjonalitet, samt DHCP.

[olear]

Men hva legger dere i ren brannmur? Inkluderes da dhcp og i brannmur? Er proxy noe som hører med til på gatewayen? Har en trådløs dlink 626. Mener jeg har sett at den har VPN funksjonalitet. Vil dere anbefale å ha VPN på den? Hvis jeg skal ha mulighet til å konfigurere begge boksene via WAN, må jeg innstallere putty ssh på begge og kan jeg komme til lagringsserveren hvis den har bak brannmurboksen med VPN på?

En brannmur kan også være router, gatway osv. Hvis du ikke har spesielle behov for VPN er det nok ikke så mye vits å bruke det. Hold deg til SSH.

 

DNS hvor hører det hjemme? Jeg assosierer det litt med ip og sånt så brannmurboksen er vel kanskje grei til det? Ser for meg at disse tjesestene ikke krever så altfor mye hardware, og at det er så mye å miste hvis boksen tar kvelden.

 

Snakker vi om vanligs DNS-forward eller skal du også hoste DNS? Uansett, det er en jobb for brannmuren din.

 

På denne boksen er det vel en ide disk. Mulig den kun er ata 66. Hvis denne boksen står på 24/7, samtidig som den kjører disse tjenenestene, er sjansen for hardiskkrasj stor siden dette ikke er en disk beregnet for serverbruk?

 

Har hatt IDE-disker som har vært på konstant i flere år, ikke noe å tenke over.

 

Vurderer også å sette i et trådløs nettverkskort i en av boksene slik at jeg kan bruke det som trådløs AP. Tenker gatewayen da, men er det lite taktisk hvis denne står i brannmurboksen? Vil man kunne gå forbi brannmuren kortet er i samme boks?

 

Vel, du har jo ikke så mange maskiner å velge mellom, brannmuren er nok det beste alternativ.

 

Når det gjelder lasteserverbruk, er det vanlig å innstallere en bittorrent eller p2p-klient og starte programmet og nedlastninger via. fjernkobling?

Installer BitTornado og sett opp btlauchmanycurses.py i en screen. Alt du trenger å gjøre er å kopier torrentfilene til en mappe på serveren og det blir automatisk lastet ned, TorrentFlux er også et godt alternativ (webfrontend).

[x-ray-cat]

Ok. Men kan noen forklare meg hva VPN er? I forhold til SSH? Og når man kjøre et os uten grafisk brukergrensesnitt, er det ikke brukergrensesnitt i programmene heller? Hvis jeg kjører firefox eller en annen brannmurtjeneste mangler dette da brukergrensesnitt og ser tekstbasert ut slik som i et konsollvindu?

 

 

Finnes det slik alternativ til BitTornato for DC++ nettverk og eMule sitt nettverk også?

[stigfjel]

VPN er en protokoll som tillater at maskiner som står på helt forskjellige steder i verden kan være på samme subnett, altså vil det være som om maskinene sto på samme sted. Man bruker gjerne kryptering på en slik forbindelse. SSH er en måte å logge seg inn på en maskin på med kommandolinje, også denne forbindelsen er kryptert. Poenget med å bruke VPN er at da må en bruker først koble seg opp til maskinen via VPN før brukeren kan starte eventuelle andre tjenester, eksempelvis SSH. Dette er ganske sikkert, forutsatt at man kjører kryptering på VPN.

[stigfjel]

Det er svært dårlig sikkerhetstankegang å kjøre fildelingsprogrammer på selve brannmuren. Skal man bruke fildelingsprogrammer, bør man bruke en annen maskin på intern-nettet og sette opp NAT-regler på brannmuren slik at disse kan kjøre i active-mode. Da kan man bruke disse tjenestene fullt ut, samtidig som man ikke kompromitterer brannmurboksen, noe man selvfølgelig vil unngå. Følger selv dette prinsippet, både når jeg bruker Direct Connect og Bittorrent.

Endret 28. mai 2006 av stigfjel

[x-ray-cat]

Ja jeg hadde i tankene å bruke den store boksen som lasteserver.

 

Den har for tiden 2*18.2 hotplug scsi disker på 15000 rpm i raid 0 med os på. Det er plass til totalt seks disker i scsi-hotplug bayen. Så jeg har tenkt å prøve å få tak i fire stykk 72.8 gm 15000 rpm disker å sette de i raid (5 sikkert) og bruke dette diskområdet til filer som lastes ned/opp, evt. mail. og slikt.

 

Så tar jeg evt. å tar de 2 18.2 diskene å kjører dem i raid 1 siden det er sikrere og bruke dette diskområdet til os og programmer. På tross av mindre hastighet så er vel det lurest da diskene allerede er veldig raske samt at serversoftwaren og os'et ikke tar så mye plass hvis jeg kun kjører serverapplikasjoner og debian uten brukergrensesnitt.

 

Tenker så å sette inn en slik satadisk i to ledige bayer. Tar ut cd-rom stasjonen. Kjøper en sata raid kontroller. Kjøper 3 stk SATA 300 disker med tiden siden flere vil gå på bekostning av en til bay. Sette disse diskene opp med RAID 5 og bruker dette området til ting som ikke skal leses så ofte. Og disse diskene blir heller ikke skrevet til så ofte. Kan evt. skru dem av for å spare dem. Her tenker jeg mer backup av bilder, råmateriale, filer og slikt. Så kan jeg evt. bytte ut disse diskene etter ca. tre år siden det er gjennomsnittlig levetid.

 

Scsidiskene er jo laget for å stå i servere som står på 24/7 og som skal kunne lese innholdet på diskene raskt. Det er jo også en tape-enhet som jeg kan bruke til backup... Selv om disse kassetene er litt dyre pr gb..

 

Jeg bruker BSD-boksen til gateway med evt. proxy. Men printserver går vle greit på denne boksen?

[stigfjel]

Ville holdt den brannmurmaskinen din så ren som mulig. DHCP-server går greit, men husk, jo flere tjenester du har på den, jo mer vil den måtte jobbe, og tregere går det.

[Zerge]

OK, Dette har blitt en lang og temmelig uoversiktlig tråd:)

 

Jeg vil poengtere at det jeg skriver under er min personlige mening, og jeg mener ikke å tråkke på noens tær, hvis det måtte virke slik.

 

Siden intet annet er nevnt antar jeg at du får Internett via ethernet, og at du kun har tilgang til 1 offisiell IP (IP1). (Har du tilgang til 2(+) vil det kunne løses på en bedre måte:)

 

P2 maskinen bør settes opp med enten Free- eller OpenBSD (Jeg vil anbefale OpenBSD)

Den bør videre ha 3 NIC (Network Interface Card):

NIC1 brukes mot Internett med IP1

NIC2 mot det lokale nettverket ditt med IP2.

NIC3 mot Compaq (P3) med IP3.

 

Av programvare og nettverkskonfigurasjon ville jeg satt opp følgende:

*NAT på NIC1

*Forskjellige uoffisielle IP'r på NIC2/3 (IP2)/(IP3) i forskjellige subnets.

*OpenVPN (http://www.openvpn.net) server med støtte for TLS, terminert i et virtuelt TUN0 interface (dev-type TAP). Den skal også dele ut uoffisielle IP'r til klientene i samme subnet som det NIC2 har

*DHCP server som deler ut uoffiselle IP'r til klienter på NIC2

*Bridge0 NIC2/NIC3/TUN0

*SSH server som kun lytter på IP2

 

(PF FW regler kommer lenger ned:)

 

 

På P3 maskinen har jeg ingen formening om hvilket OS du bør velge, men en råd tråd bør være at du ønsker å "virtualisere" egne maskiner for de enkelte tjenestene. Det kan gjøres på de fleste *nix OS med litt forskjellige håndgrep. I Solaris har du 'containers', i FreeBSD har du 'jails' og 'chroot' og i OpenBSD har du 'chroot'. Linux har jeg ingen kunnskaper om, men jeg vet det finnes noe tilsvarende der.

På denne måten unngår du at hele maskinen blir kompromitert hvis en tjeneste blir hacket, og det er videre ingen limitasjoner utenom kapasiteten for hvilke tjenester du kan kjøre på samme maskin.

 

Videre bør den ha 2 uoffisielle IP'r på sitt nettverkskort, hvor den ene brukes mot Internett (IPP3-1), og den andre er i samsvar med den uoffisille rangen til det lokale nettverket (IPP3-2). Det blir da viktig at de tjenestene som måtte skal være tilgjengelig både for allmennheten og det lokale nettverket lytter på begge ip'ne

SSH server som kun lytter på IPP3-2

 

 

 

Så kommer godsakene, nemlig hvordan PF bør bli konfigurert:P

Siden PF støtter dynamiske regler slipper vi å manuelt måtte lage en del regler, så jeg skriver kun opp de som er nødvendige. (husk altså keep state)

 

*Blokkér alle innkommende sessions mot IP1 untatt OpenVPN og de andre tjenestene du måtte ønske å NAT'e gjennom til IPP3-1

*Blokkér i utgangspunktet alle utgående sessions for IP1.

*Tillat utgående sessions fra IP3 for de tjenestene du må ønske at P3 skal kunne benytte seg av gjennom IP1

*Tillat utgående sessions fra IP2 for de tjenestene du må ønske at ditt lokale nettverk skal kunne benytte seg av gjennom IP1

*Blokkér all trafikk mellom IPP3-1 og Bridge0

*Blokkér i utgangspunktet all trafikk fra IPP3-2 til Bridge0

*Tillat så de tjenestene du måtte ønske at ditt lokale nettverk skal kunne nå på P3 gjennom Bridge0 fra det lokale nettverket, altså til IPP3-2

*Tillat all trafikk mellom TUN0 og Bridge0

 

 

Hvis du gjør det på denne måten vil du kunne maksimere nytteverdien av den maskinvaren du allerede har, samtidig som du lærer deg en masse om hvordan man praktisk kan sikre og leke rundt med nettverk og BSD

 

Hehe, innlegget kan være vanskelig nok å forstå for enhver, så jeg har slått meg løs i pbrush for å lage en liten skisse, se vedlegg:p

Endret 31. mai 2006 av Zerge