Firewall Configuration

[Βασιλειου Σπυρος]

> > Ομως η διοικηση θελει πλεον τα εξης
> > 1) Ολα τα συστηματα να εχουν προσβαση στον mail & ftp server
> > 2) Κανενα συστηματα να μην εχει προσβαση σε HOTMAIL & MSN
> > 3) Κανενα συστημα να μην βλεπει www και συναφεις σελιδες (πχ
> >    χρηματηστηριο απο in.gr) με εξαιρεση ορισμενα PC (μαντεψτε ποια!)
> > 4) Χρειαζομαι Τelnet εγω απο ολα τα εσωτερικα PC και 1 ΙΡ απο
> >    εξωτερικο δικτυο.
>
> Το 2) είναι εντελώς άχρηστο όταν υπάρχει το 3).. απλώς ξέχνα το.  Αν
> κάνεις το 3) τότε έχεις αυτόματα πετύχει και το 2).  Αν και προσωπικά
> θεωρώ πως το web είναι πηγή πληροφόρησης και ενημέρωσης των εργαζομένων
> και είναι λίγο άσχημο να μπαίνουν περιορισμοί μαζικά, χωρίς να το ξέρουν
> όλοι οι εργαζόμενοι, ή χωρίς πολύ σκέψη για το πως αυτό θα επηρεάσει τον
> τρόπο δουλειάς τους, την απόδοσή τους σε αυτό που κάνουν, κλπ.

Οταν ομως οι εργαζομενοι το χρησημοποιουν για ροζ sites και χρηματιστηριο
χωρις να κανουν την δουλεια τους, τοτε μαλλον ειναι προβλημα!

>
> Σε μια αντίστοιχη περίπτωση μου ζητήθηκε να στήσω και να ρυθμίσω το mail
> server εταιρείας έτσι που να καταγράφονται όλα τα γράμματα και να
> γίνονται archive σε κεντρικό μηχάνημα, αλλά δεν δέχτηκα να το κάνω.
> Ακόμα και σαν εξωτερικός συνεργάτης, θεωρώ πως ανήθικο να γίνει κάτι
> τέτοιο χωρίς να έχει ενημερωθεί πρώτα ο κόσμος.  Απάντησα ότι μπορώ να
> το κάνω, αλλά θέλω πρώτα να ενημερωθεί ο κόσμος ότι τα mail τους
> γίνονται archive όταν τα στέλνουν ή κατεβάζουν από μηχανήματα της
> εταιρείας, και να είμαι κι εγώ μπροστά όταν γίνει αυτό.  Φυσικά, δεν
> δέχτηκε η διοίκηση της εταιρείας.  Μάλλον είχαν στο νου τους να
> παρακολουθούν τα mail όλων χωρίς να το ξέρουν ότι κάτι τέτοιο γίνεται.
>
> Αντίστοιχη είναι και η ενημέρωση από το web.  Πολλοί εργαζόμενοι μπορεί
> να χρησιμοποιούν το web στη δουλειά τους με εποικοδομητικό τρόπο, και σε
> άλλους μπορεί να είναι ακόμη κι απαραίτητο (π.χ. δεν είναι απαραίτητο σε
> ένα system administrator να μπορεί να διαβάζει έγκαιρα τις σελίδες του
> securityfocus.com όταν ανακοινώνεται εκεί κάποιο πρόβλημα ασφάλειας;
> ΦΥΣΙΚΑ και είναι).
>
> Δεν είμαι σίγουρος πόσο ελαφρά τη καρδία θα έβαζα τέτοιους περιορισμούς
> αν ήμουν εγώ.
>

Ωπα μια στιγμη! Δεν ειπα οτι θα συνδραμω σε κατι ανηθικο. Εχω ενημερωσει
τους εργαζομενους αλλα αυτοι δεν βαζουν μυαλο. Ειμαι αντιθετο με την ιδεα
του μεγαλου αδερφου κλπ συνομωσιες. Απο την αλλη θεωρω δικαιο μια επιχειρηση
που σπαταλα χρημα να δινει κατι στους υπαλληλους της και αυτοι να το
"πατανε"
χωρις να σεβονται. Το τελευταιο λεγεται "ελληνικη εργασιακη νοοτροπια" και
με
βρισκει αντιθετο.
Ελπιζω να εκανα ξεκαθαρη την θεση μου.

> Το τεχνικό κομμάτι είναι ένα τίποτα.  Μισής ώρας υπόθεση.  Με την ηθική
> πλευρά και την άποψη της λειτουργίας, αποδοτικότητας και την παραγωγική
> πλευρά της επιχείρησης τί γίνεται; Αν μια εταιρεία η οποία κινείται στον
> ίδιο χώρο με σας, δεν βάζει περιορισμούς στην πρόσβαση στο web, και οι
> εργαζόμενοί της είναι καλύτερα ενημερωμένοι για τη δουλειά τους, δεν θα
> σας φάνε λάχανο;  Αν κάνετε κάτι τέτοιο και δυσαρεστηθεί το σύμπαν, η
> απόδοση των εργαζομένων τι ποσοστιαία πτώση προβλέπεται να παρουσιάσει
> και για πόσο καιρό;  Ας μην ξεχνάμε ότι όταν είναι δυσαρεστημένοι οι
> εργαζόμενοι ΣΧΕΔΟΝ ΠΟΤΕ δεν αποδίδουν καλύτερα από όταν είναι
> ευχαριστημένοι.

Δεν ειναι του τρεχοντος αυτη η αναλυση, αλλα ναι στο εργατικο δικαιο
οταν οι εργαζομενοι δεν τα γ*****ε ολα! Ελπιζω να συμφωνεις. Η ισορροπιες
ειναι λεπτες και δυσκολες.

>
> Αυτά κι άλλα τέτοια πολλά είναι το ίδιο σημαντικά με τα ipchains.  Μη
> σου πω και πιο σημαντικά τον περισσότερο καιρό.  Τα ipchains αν μη τι
> άλλο αλλάζουν σε ένα λεπτό.  Οι πολιτικές και ο τρόπος εργασίας σε μια
> επιχείρηση θέλει πολύ δουλειά... κι οποιαδήποτε αλλαγή περνάει σήμερα
> στα ψιλά γράμματα επηρεάζει πολλές 'γενιές' εργαζομένων αργότερα.
>

Ευτυχως δεν ειναι δικια μου η επιχειρηση που συζηταμε διοτι εγω θα
εφαρμοζα εξ αρχης αλλες πολιτικες :)

>
> ΥΓ: Η πιο απλή λογική στα ipchains είναι να φτιάξεις ένα ή περισσότερα
> chain με local 'περιορισμούς' και σε κατάλληλα σημεία των input, output
> και forwarding chains να εισάγεις -j local, -j local2, ...
>
> Μπορείς να δώσεις και ονόματα στα local chains σου αν θες, π.χ. κάτι σαν
> -j noweb [μετάβαση στο chain που δεν επιτρέπει πρόσβαση στο web σε
> κανέναν εκτός από τον κ. Α, την δεσποινίδα Β και τον admin].
>
> Μην γράφεις spagghetti rules!
>
> Οργάνωσε τα rules σου σε λογικές ομάδες, ανάλογα με το τι κάνουν και
> διαχώρισέ τα σε κατάλληλα chains.  Τα ονόματα input, output και forward
> είναι απλώς τα "βασικά" chains.  Μπορείς να φτιάξεις όσα θες, και είναι
> καλή ιδέα όταν δοκιμάζεις το firewall σου να έχεις έτσι ομαδοποιημένα τα
> chains σου.  Για παράδειγμα, όταν κάνεις δοκιμές για το noweb chain,
> μπορείς να βάζεις και να βγάζεις ένα κανόνα που έχει -j noweb από το
> input chain σου και να αλλάζουν όλα όσα έχουν σχέση με την πρόσβαση στο
> web με μια κίνηση.
>
> Που να τρέχεις τώρα (ή μεθαύριο, τον άλλο μήνα, του χρόνου) να ψάχνεις
> μέσα σε ένα περίεργο μπέρδεμα από chains, μια συμπαγή και πυκνή μάζα από
> κανόνες, τι στο διάολο ήταν αυτό που ήθελες να κάνεις όταν γράφτηκαν
> πριν τόσο καιρό οι κανόνες...  Κρίμα είναι :-P

ΟΚ συμφωνω! Ενα μικρο παραδειγματακι? Μονο αυτο ζηταω να παρω μπροστα να δω
πως γινεται.

Ευχαριστω
Σπυρος


--
http://www.freemail.gr - δωρεάν υπηρεσία ηλεκτρονικού ταχυδρομείου.