Firewall gia server

Aristotelis arisg at hellug.gr
Thu Jul 1 10:08:51 EEST 2004 

On 2004-06-30, George Paschos <paschos at cosmoline.com> wrote:
> (..διορθωμένο post..:p )
>
> Γεια σου Αντώνη,


  Xairete Antonie kai apo emena 


>
> 1. Τα 50 rules είναι "αστεία" από πλευράς performance (αρκεί να μην έχεις
> κάνα 486 και 100+ mbits traffic να φιλτράρεις)
>

  ta 50 rules einai ontws asteia ypothesh gia ta perissotera 
mhxanhmata shmera. An kai opws eipe kai o Giwrgos exei sxesh kai 
se ti traffic milas. Apo ekei kai pera epeidh milas gia firewalling
sto idio to mhxanhma (firewall me thn ennoia toy packet filtering 
panta) den tha paizei kai toso megalo rolo to traffic (giati allwste
to machine tha to faei sthn mapa).


> 2. Η ορθή προσέγγιση είναι συνδυασμός και των δύο. Γενικά, φτιάχνεις τους
> κανόνες του firewall με το σκεπτικό ότι δεν κάνεις κανένα access control
> στον server και φτιάχνεις τον server με το σκεπτικό ότι δεν έχεις την
> προστασία του firewall.
>
> Τέλος, αν και μπορείς σχετικά άνετα να παίξεις στον ίδιο τον server, το
> καλύτερο που θα μπορούσες να κάνεις είναι να βάλεις κάποιο παλιό μηχάνημα
> μπροστά που να είναι dedicated firewall και να αφήσεις τον server όπως
> είναι.
>
>
> Γιώργος


  To kalytero firewalling se ena mhxanhma einai na MHN trexeis yphresies
poy den xreiazontai. Koinws kleineis ta panta kai afhneis mono 
ta aparaithta. An thes na dineis kapoia services se orismena mhxanhmata
toy eswterikoy soy LAN, einai kalytero na baleis isws mia deyterh karta
diktyoy gia ayta ta machines, h na shkwseis deytero interface poy na 
einai mono gia ayta ta machines (se non routable network).

 To na exeis ksexwristw firewall gia ena machine mono gia mena ayto
einai yperboliko. Px an exw ena machine poy akoyei mono se SSH, ayto 
poy kanw einai na exw to hosts.allow kai deny kai den bazw kai 
epipleon firewall. An exw diafora services poy prepie na epitrepsw
sygkekrimeno kosmo na mporei na ta blepei kathws kai na kanw kai 
diafores alles apatewnies, tote bazw ena firewall poy kobei ta xontra
xontra kai meta kanw fine tuning me tcp wrappers. Epishs shmantiko
einai pws den yposthrizoyne panta ola ta programmata tcp wrappers,
so isws to firewall na einai aparaithto. 

 Best solution gia enan server: Minimize services, and keep the 
server updated with the security patches :))

   Aristotelis

More information about the Linux-greek-users mailing list