Firewall Configuration

Nikos Kavourinos eos at eos.gr
Tue Apr 8 02:31:01 EEST 2003 

gia mia prospatheia ejaplousteyshs:
MALLON h "dioikhsh" den xreiazetai kai katholou den prokeitai na 
xrhsimopoihsei archiving tou mail server h opoiasdhpote allhs yphresias,
pithanotata to mono pou xreiazetai einai ena ejypno traffic shapping 
ston router tous

ps: brhka, meta apo polla xronia anazhthshs, ti mou aresei na pinw :-)

Γιώργος Κεραμίδας wrote:
> On 2003-04-07 19:47, Βασιλειου Σπυρος <alfadeck at freemail.gr> wrote:
> 
>>Χαιρετε προς ολους.
>>
>>Εχω μια περιπτωση ενος δικτυου στην οποια χρειαζομαι ολιγον
>>την βοηθεια σας διοτι δεν εχω ψαξει τα ipcahins.
> 
> 
>>Ομως η διοικηση θελει πλεον τα εξης
>>1) Ολα τα συστηματα να εχουν προσβαση στον mail & ftp server
>>2) Κανενα συστηματα να μην εχει προσβαση σε HOTMAIL & MSN
>>3) Κανενα συστημα να μην βλεπει www και συναφεις σελιδες (πχ
>>   χρηματηστηριο απο in.gr) με εξαιρεση ορισμενα PC (μαντεψτε ποια!)
>>4) Χρειαζομαι Τelnet εγω απο ολα τα εσωτερικα PC και 1 ΙΡ απο
>>   εξωτερικο δικτυο.
> 
> 
> Το 2) είναι εντελώς άχρηστο όταν υπάρχει το 3).. απλώς ξέχνα το.  Αν
> κάνεις το 3) τότε έχεις αυτόματα πετύχει και το 2).  Αν και προσωπικά
> θεωρώ πως το web είναι πηγή πληροφόρησης και ενημέρωσης των εργαζομένων
> και είναι λίγο άσχημο να μπαίνουν περιορισμοί μαζικά, χωρίς να το ξέρουν
> όλοι οι εργαζόμενοι, ή χωρίς πολύ σκέψη για το πως αυτό θα επηρεάσει τον
> τρόπο δουλειάς τους, την απόδοσή τους σε αυτό που κάνουν, κλπ.
> 
> Σε μια αντίστοιχη περίπτωση μου ζητήθηκε να στήσω και να ρυθμίσω το mail
> server εταιρείας έτσι που να καταγράφονται όλα τα γράμματα και να
> γίνονται archive σε κεντρικό μηχάνημα, αλλά δεν δέχτηκα να το κάνω.
> Ακόμα και σαν εξωτερικός συνεργάτης, θεωρώ πως ανήθικο να γίνει κάτι
> τέτοιο χωρίς να έχει ενημερωθεί πρώτα ο κόσμος.  Απάντησα ότι μπορώ να
> το κάνω, αλλά θέλω πρώτα να ενημερωθεί ο κόσμος ότι τα mail τους
> γίνονται archive όταν τα στέλνουν ή κατεβάζουν από μηχανήματα της
> εταιρείας, και να είμαι κι εγώ μπροστά όταν γίνει αυτό.  Φυσικά, δεν
> δέχτηκε η διοίκηση της εταιρείας.  Μάλλον είχαν στο νου τους να
> παρακολουθούν τα mail όλων χωρίς να το ξέρουν ότι κάτι τέτοιο γίνεται.
> 
> Αντίστοιχη είναι και η ενημέρωση από το web.  Πολλοί εργαζόμενοι μπορεί
> να χρησιμοποιούν το web στη δουλειά τους με εποικοδομητικό τρόπο, και σε
> άλλους μπορεί να είναι ακόμη κι απαραίτητο (π.χ. δεν είναι απαραίτητο σε
> ένα system administrator να μπορεί να διαβάζει έγκαιρα τις σελίδες του
> securityfocus.com όταν ανακοινώνεται εκεί κάποιο πρόβλημα ασφάλειας;
> ΦΥΣΙΚΑ και είναι).
> 
> Δεν είμαι σίγουρος πόσο ελαφρά τη καρδία θα έβαζα τέτοιους περιορισμούς
> αν ήμουν εγώ.
> 
> 
>>Ξεκινησα να γραφω γραμμες με τα IPCHAINS αλλα ματαιως. Σας δινω ενα
>>παραδειγμα που δεν λειτουργει!!!
> 
> 
> Το τεχνικό κομμάτι είναι ένα τίποτα.  Μισής ώρας υπόθεση.  Με την ηθική
> πλευρά και την άποψη της λειτουργίας, αποδοτικότητας και την παραγωγική
> πλευρά της επιχείρησης τί γίνεται; Αν μια εταιρεία η οποία κινείται στον
> ίδιο χώρο με σας, δεν βάζει περιορισμούς στην πρόσβαση στο web, και οι
> εργαζόμενοί της είναι καλύτερα ενημερωμένοι για τη δουλειά τους, δεν θα
> σας φάνε λάχανο;  Αν κάνετε κάτι τέτοιο και δυσαρεστηθεί το σύμπαν, η
> απόδοση των εργαζομένων τι ποσοστιαία πτώση προβλέπεται να παρουσιάσει
> και για πόσο καιρό;  Ας μην ξεχνάμε ότι όταν είναι δυσαρεστημένοι οι
> εργαζόμενοι ΣΧΕΔΟΝ ΠΟΤΕ δεν αποδίδουν καλύτερα από όταν είναι
> ευχαριστημένοι.
> 
> Αυτά κι άλλα τέτοια πολλά είναι το ίδιο σημαντικά με τα ipchains.  Μη
> σου πω και πιο σημαντικά τον περισσότερο καιρό.  Τα ipchains αν μη τι
> άλλο αλλάζουν σε ένα λεπτό.  Οι πολιτικές και ο τρόπος εργασίας σε μια
> επιχείρηση θέλει πολύ δουλειά... κι οποιαδήποτε αλλαγή περνάει σήμερα
> στα ψιλά γράμματα επηρεάζει πολλές 'γενιές' εργαζομένων αργότερα.
> 
> - Γιώργος
> 
> 
> 
> ΥΓ: Η πιο απλή λογική στα ipchains είναι να φτιάξεις ένα ή περισσότερα
> chain με local 'περιορισμούς' και σε κατάλληλα σημεία των input, output
> και forwarding chains να εισάγεις -j local, -j local2, ...
> 
> Μπορείς να δώσεις και ονόματα στα local chains σου αν θες, π.χ. κάτι σαν
> -j noweb [μετάβαση στο chain που δεν επιτρέπει πρόσβαση στο web σε
> κανέναν εκτός από τον κ. Α, την δεσποινίδα Β και τον admin].
> 
> Μην γράφεις spagghetti rules!
> 
> Οργάνωσε τα rules σου σε λογικές ομάδες, ανάλογα με το τι κάνουν και
> διαχώρισέ τα σε κατάλληλα chains.  Τα ονόματα input, output και forward
> είναι απλώς τα "βασικά" chains.  Μπορείς να φτιάξεις όσα θες, και είναι
> καλή ιδέα όταν δοκιμάζεις το firewall σου να έχεις έτσι ομαδοποιημένα τα
> chains σου.  Για παράδειγμα, όταν κάνεις δοκιμές για το noweb chain,
> μπορείς να βάζεις και να βγάζεις ένα κανόνα που έχει -j noweb από το
> input chain σου και να αλλάζουν όλα όσα έχουν σχέση με την πρόσβαση στο
> web με μια κίνηση.
> 
> Που να τρέχεις τώρα (ή μεθαύριο, τον άλλο μήνα, του χρόνου) να ψάχνεις
> μέσα σε ένα περίεργο μπέρδεμα από chains, μια συμπαγή και πυκνή μάζα από
> κανόνες, τι στο διάολο ήταν αυτό που ήθελες να κάνεις όταν γράφτηκαν
> πριν τόσο καιρό οι κανόνες...  Κρίμα είναι :-P
> 
>

More information about the Linux-greek-users mailing list