RE Re: [linux] Firewall - part2

[Matus "fantomas" Uhlar]

-> > ak tam bude iba mail na primanie z vonku a MTA taq staci povoleny smtp..
-> > ak tam bude chcet byt mail aj na pozeranie mailou cez POP3 cez inet taq
-> > tam povol aj POP3 port
-> > a ak tam bude aj WWW taq povol aj 80-ku...

-> Ta debata sa mi zda trosku divna... ak budes mat aj firewall otvoreny len
-> na 25 -ku port do vnutornej siete a niekto ti to vyexpoloituje si tak
-> isto v pazi ako ked budes mat ten mail server na FW.

exactly! Bohuzial velmi vela ludi, lame adminov a manazerov si mysli ze
    firewall == bezpecna siet
a potom najdes na intranete firewally so proxy alebo socks servermi
umoznujucimi connecty zvonka cim umoznuju pripajat sa aj na vnutornu siet na
ktoru by sa vdak aprivatnym IP adresam inac dostat nedalo!!! 

... ako admin IRC serverov vidam ze na IRC sa pripajaju ludia z takychto
"firewallov". Mailujem adminom ale obcas im to nedojde (naco citat postu
postmastera resp. roota?) a obcas nevedia pochopit o co ide. Treba ich
radsej dobre vystrasit to zvykne zabrat. Ale je pravda ze kopa ludi pochopi
a spolupracuje.

-> FW by mal podla mna skorej zabezpecit vnutornu siet NFS, intranet, SMB,
-> ... a masina zo services(smtp, dns, http, ftp ... ) moze kludne byt
-> vystrcena pred firewallom.

Presne tak. A firewalling na linuxe aj inych OS mozu fungovat uplne v
pohode aj na jednotlivej masine takze mozes zakazat pristup zvonka uplne
bez problemov.

Oddelene masiny firewall a servery sa pouzivaju v pripadoch vytvarania
demilitarizovanych zon, kde sa vydeli cast siete (napriklad jeden pocitac)
na ktory sa mozno dostat zvonku aj zvnutra (smtp, http, pop) ale z neho sa
donutra nedostanes.

-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 WinError #99999: Out of error messages.