Firewall Configuration

[George Daflidis-Kotsis]

On Wed, Apr 09, 2003 at 12:41:55AM +0300, Βασιλειου Σπυρος wrote:

> > > Ομως η διοικηση θελει πλεον τα εξης
> > > 1) Ολα τα συστηματα να εχουν προσβαση στον mail & ftp server
> > > 2) Κανενα συστηματα να μην εχει προσβαση σε HOTMAIL & MSN
> > > 3) Κανενα συστημα να μην βλεπει www και συναφεις σελιδες (πχ
> > >    χρηματηστηριο απο in.gr) με εξαιρεση ορισμενα PC (μαντεψτε ποια!)
> > > 4) Χρειαζομαι Τelnet εγω απο ολα τα εσωτερικα PC και 1 ΙΡ απο
> > >    εξωτερικο δικτυο.
> >
> > Το 2) είναι εντελώς άχρηστο όταν υπάρχει το 3).. απλώς ξέχνα το.  Αν
> > κάνεις το 3) τότε έχεις αυτόματα πετύχει και το 2).  Αν και προσωπικά
> > θεωρώ πως το web είναι πηγή πληροφόρησης και ενημέρωσης των εργαζομένων
> > και είναι λίγο άσχημο να μπαίνουν περιορισμοί μαζικά, χωρίς να το ξέρουν
> > όλοι οι εργαζόμενοι, ή χωρίς πολύ σκέψη για το πως αυτό θα επηρεάσει τον
> > τρόπο δουλειάς τους, την απόδοσή τους σε αυτό που κάνουν, κλπ.
> 
> Οταν ομως οι εργαζομενοι το χρησημοποιουν για ροζ sites και χρηματιστηριο
> χωρις να κανουν την δουλεια τους, τοτε μαλλον ειναι προβλημα!

Baltous na pernane upoxrewtika mesa apo proxy kai kane layer7 filtering
ston proxy.

> 
> >
> > Σε μια αντίστοιχη περίπτωση μου ζητήθηκε να στήσω και να ρυθμίσω το mail
> > server εταιρείας έτσι που να καταγράφονται όλα τα γράμματα και να
> > γίνονται archive σε κεντρικό μηχάνημα, αλλά δεν δέχτηκα να το κάνω.
> > Ακόμα και σαν εξωτερικός συνεργάτης, θεωρώ πως ανήθικο να γίνει κάτι
> > τέτοιο χωρίς να έχει ενημερωθεί πρώτα ο κόσμος.  Απάντησα ότι μπορώ να
> > το κάνω, αλλά θέλω πρώτα να ενημερωθεί ο κόσμος ότι τα mail τους
> > γίνονται archive όταν τα στέλνουν ή κατεβάζουν από μηχανήματα της
> > εταιρείας, και να είμαι κι εγώ μπροστά όταν γίνει αυτό.  Φυσικά, δεν
> > δέχτηκε η διοίκηση της εταιρείας.  Μάλλον είχαν στο νου τους να
> > παρακολουθούν τα mail όλων χωρίς να το ξέρουν ότι κάτι τέτοιο γίνεται.
> >
> > Αντίστοιχη είναι και η ενημέρωση από το web.  Πολλοί εργαζόμενοι μπορεί
> > να χρησιμοποιούν το web στη δουλειά τους με εποικοδομητικό τρόπο, και σε
> > άλλους μπορεί να είναι ακόμη κι απαραίτητο (π.χ. δεν είναι απαραίτητο σε
> > ένα system administrator να μπορεί να διαβάζει έγκαιρα τις σελίδες του
> > securityfocus.com όταν ανακοινώνεται εκεί κάποιο πρόβλημα ασφάλειας;
> > ΦΥΣΙΚΑ και είναι).
> >
> > Δεν είμαι σίγουρος πόσο ελαφρά τη καρδία θα έβαζα τέτοιους περιορισμούς
> > αν ήμουν εγώ.
> >
> 
> Ωπα μια στιγμη! Δεν ειπα οτι θα συνδραμω σε κατι ανηθικο. Εχω ενημερωσει
> τους εργαζομενους αλλα αυτοι δεν βαζουν μυαλο. Ειμαι αντιθετο με την ιδεα
> του μεγαλου αδερφου κλπ συνομωσιες. Απο την αλλη θεωρω δικαιο μια επιχειρηση
> που σπαταλα χρημα να δινει κατι στους υπαλληλους της και αυτοι να το
> "πατανε"
> χωρις να σεβονται. Το τελευταιο λεγεται "ελληνικη εργασιακη νοοτροπια" και
> με
> βρισκει αντιθετο.
> Ελπιζω να εκανα ξεκαθαρη την θεση μου.
> 
> > Το τεχνικό κομμάτι είναι ένα τίποτα.  Μισής ώρας υπόθεση.  Με την ηθική
> > πλευρά και την άποψη της λειτουργίας, αποδοτικότητας και την παραγωγική
> > πλευρά της επιχείρησης τί γίνεται; Αν μια εταιρεία η οποία κινείται στον
> > ίδιο χώρο με σας, δεν βάζει περιορισμούς στην πρόσβαση στο web, και οι
> > εργαζόμενοί της είναι καλύτερα ενημερωμένοι για τη δουλειά τους, δεν θα
> > σας φάνε λάχανο;  Αν κάνετε κάτι τέτοιο και δυσαρεστηθεί το σύμπαν, η
> > απόδοση των εργαζομένων τι ποσοστιαία πτώση προβλέπεται να παρουσιάσει
> > και για πόσο καιρό;  Ας μην ξεχνάμε ότι όταν είναι δυσαρεστημένοι οι
> > εργαζόμενοι ΣΧΕΔΟΝ ΠΟΤΕ δεν αποδίδουν καλύτερα από όταν είναι
> > ευχαριστημένοι.
> 
> Δεν ειναι του τρεχοντος αυτη η αναλυση, αλλα ναι στο εργατικο δικαιο
> οταν οι εργαζομενοι δεν τα γ*****ε ολα! Ελπιζω να συμφωνεις. Η ισορροπιες
> ειναι λεπτες και δυσκολες.
> 
> >
> > Αυτά κι άλλα τέτοια πολλά είναι το ίδιο σημαντικά με τα ipchains.  Μη
> > σου πω και πιο σημαντικά τον περισσότερο καιρό.  Τα ipchains αν μη τι
> > άλλο αλλάζουν σε ένα λεπτό.  Οι πολιτικές και ο τρόπος εργασίας σε μια
> > επιχείρηση θέλει πολύ δουλειά... κι οποιαδήποτε αλλαγή περνάει σήμερα
> > στα ψιλά γράμματα επηρεάζει πολλές 'γενιές' εργαζομένων αργότερα.
> >
> 
> Ευτυχως δεν ειναι δικια μου η επιχειρηση που συζηταμε διοτι εγω θα
> εφαρμοζα εξ αρχης αλλες πολιτικες :)
> 
> >
> > ΥΓ: Η πιο απλή λογική στα ipchains είναι να φτιάξεις ένα ή περισσότερα
> > chain με local 'περιορισμούς' και σε κατάλληλα σημεία των input, output
> > και forwarding chains να εισάγεις -j local, -j local2, ...
> >
> > Μπορείς να δώσεις και ονόματα στα local chains σου αν θες, π.χ. κάτι σαν
> > -j noweb [μετάβαση στο chain που δεν επιτρέπει πρόσβαση στο web σε
> > κανέναν εκτός από τον κ. Α, την δεσποινίδα Β και τον admin].
> >
> > Μην γράφεις spagghetti rules!
> >
> > Οργάνωσε τα rules σου σε λογικές ομάδες, ανάλογα με το τι κάνουν και
> > διαχώρισέ τα σε κατάλληλα chains.  Τα ονόματα input, output και forward
> > είναι απλώς τα "βασικά" chains.  Μπορείς να φτιάξεις όσα θες, και είναι
> > καλή ιδέα όταν δοκιμάζεις το firewall σου να έχεις έτσι ομαδοποιημένα τα
> > chains σου.  Για παράδειγμα, όταν κάνεις δοκιμές για το noweb chain,
> > μπορείς να βάζεις και να βγάζεις ένα κανόνα που έχει -j noweb από το
> > input chain σου και να αλλάζουν όλα όσα έχουν σχέση με την πρόσβαση στο
> > web με μια κίνηση.
> >
> > Που να τρέχεις τώρα (ή μεθαύριο, τον άλλο μήνα, του χρόνου) να ψάχνεις
> > μέσα σε ένα περίεργο μπέρδεμα από chains, μια συμπαγή και πυκνή μάζα από
> > κανόνες, τι στο διάολο ήταν αυτό που ήθελες να κάνεις όταν γράφτηκαν
> > πριν τόσο καιρό οι κανόνες...  Κρίμα είναι :-P
> 
> ΟΚ συμφωνω! Ενα μικρο παραδειγματακι? Μονο αυτο ζηταω να παρω μπροστα να δω
> πως γινεται.
> 
> Ευχαριστω
> Σπυρος
> 
> 
> --
> http://www.freemail.gr - δωρεάν υπηρεσία ηλεκτρονικού ταχυδρομείου.
> 
> -- 
> linux-greek-users mailing list -- http://lists.hellug.gr

-- 
[george daflidis-kotsis - systems admin,web/e-commerce - gdk at demon.net]