Har diskuterat lite med en gammal handledare jag haft om att kanske sätta upp en linuxbrandvägg/router åt deras nätverk. Den ska isåfall vara baserad på ubuntu server. Sen kommer förmodligen Iptables ligga på det. Som det är nu så har dom en gammal D-link router där dom får dynamisk ip från Telia + att dom har dhcp-servern igång i den.
Kan man göra som så att man installerar (och kanske även konfigurerar) servern medan den fortfarande står bakom deras nuvarande router för att sedan byta ut deras D-link mot ubuntu-datorn??
Brandväggsprojekt
Brandväggsprojekt
Jag skulle först satt upp och konfigurerat Ubuntuservern utanför nätverket, sedan lyfta in och ersätta nuvarande router och göra de återstående justeringarna.
Vet inte om du känner till det, men det finns en brandvägg som är speciellt anpassad för Ubuntu - Ubuntu firewall. http://rob.pectol.com/content/view/2/57/
Den kan, utöver brandvägg, även utgöra NAT router. Sen antar jag du får lägga in DHCP-server på burken.
Är själv sugen på att sätta upp Ubuntu firewall. Har inte kommit till skott ännu.
Vet inte om du känner till det, men det finns en brandvägg som är speciellt anpassad för Ubuntu - Ubuntu firewall. http://rob.pectol.com/content/view/2/57/
Den kan, utöver brandvägg, även utgöra NAT router. Sen antar jag du får lägga in DHCP-server på burken.
Är själv sugen på att sätta upp Ubuntu firewall. Har inte kommit till skott ännu.
Brandväggsprojekt
Jag vet inte om det här är intressant: http://ubuntu-se.org/Wiki/Hemmarouter
Det gör inget brandvägg:ande, men det sköter dns och dhcp bl a.
Det gör inget brandvägg:ande, men det sköter dns och dhcp bl a.
Brandväggsprojekt
Vid närmare titt på Ubuntu firewall verkar den ha en del begränsningar än så länge. Tror att Shorewall är den man ska satsa på istället. Den verkar inte speciellt svår att sätta upp. Bra dokumentation.
http://www.shorewall.net/
http://www.shorewall.net/
Brandväggsprojekt
[quote="northface"]Vid närmare titt på Ubuntu firewall verkar den ha en del begränsningar än så länge. Tror att Shorewall är den man ska satsa på istället. Den verkar inte speciellt svår att sätta upp. Bra dokumentation.
http://www.shorewall.net/[/quote]
Har själv shorewall till mitt nätverk och är mycket nöjd med den. Skiljer sig shorewall sig mycket från iptables när det gäller administration via webmin?? Han (min handledare) har knappt nån vana av linux över huvud taget så han kommer säkert att göra det mesta via webmin.
http://www.shorewall.net/[/quote]
Har själv shorewall till mitt nätverk och är mycket nöjd med den. Skiljer sig shorewall sig mycket från iptables när det gäller administration via webmin?? Han (min handledare) har knappt nån vana av linux över huvud taget så han kommer säkert att göra det mesta via webmin.
Brandväggsprojekt
[quote="ozamosi"]Jag vet inte om det här är intressant: http://ubuntu-se.org/Wiki/Hemmarouter
Det gör inget brandvägg:ande, men det sköter dns och dhcp bl a.[/quote]
Den har jag kollat lite på. Där finns vissa delar som kan vara bra att ha till hands.
Tack för tipset
Det gör inget brandvägg:ande, men det sköter dns och dhcp bl a.[/quote]
Den har jag kollat lite på. Där finns vissa delar som kan vara bra att ha till hands.
Tack för tipset
Brandväggsprojekt
Ett annat förslag:
Ubuntu server + OpenSSH + FireHOL
FireHOL har mycket enkel konfiguration via en text-fil. Administrationen via ssh blir krypterad och kan vara tillgänglig genom en enda icke-standard port som är svårt att hitta för utomstående.
En sådan lösning kan vara mycket säkrare än webmin som har flera kryphål just på grund av http-gränssnittet. Det är också möjligt att kryptera webmin via ssh. Jag kommer inte ihåg om det är standard eller en kräver extra manuell konfiguration. Är det någon som vet?
Ubuntu server + OpenSSH + FireHOL
FireHOL har mycket enkel konfiguration via en text-fil. Administrationen via ssh blir krypterad och kan vara tillgänglig genom en enda icke-standard port som är svårt att hitta för utomstående.
En sådan lösning kan vara mycket säkrare än webmin som har flera kryphål just på grund av http-gränssnittet. Det är också möjligt att kryptera webmin via ssh. Jag kommer inte ihåg om det är standard eller en kräver extra manuell konfiguration. Är det någon som vet?
/M
Brandväggsprojekt
[quote="Arendagan"]Skiljer sig shorewall sig mycket från iptables när det gäller administration via webmin??[/quote]
Ja. Shorewall är ett lager ovanför ibtables. (en kompis använde både shorewall och ett iptables skript, det var ingen bra idé...). iptables är terminalbaserat så det saknar webgränssnitt. Man lägger till regler en efter en tills att man har en fungerande brandvägg. Min brandvägg hemma använder sig av skript som lägger upp iptablesregler. Inget grafiskt alls
Ja. Shorewall är ett lager ovanför ibtables. (en kompis använde både shorewall och ett iptables skript, det var ingen bra idé...). iptables är terminalbaserat så det saknar webgränssnitt. Man lägger till regler en efter en tills att man har en fungerande brandvägg. Min brandvägg hemma använder sig av skript som lägger upp iptablesregler. Inget grafiskt alls
Brandväggsprojekt
firehol är också värt att ta sig en titt på (precis som shorewall är det ett lager som förenklar att sätta iptables-regler)
EDIT: hoppsan... macchi hade redan nämnt firehol. Sorry.
Webmin använder https protokollet och inte http har jag också för mig.
EDIT: hoppsan... macchi hade redan nämnt firehol. Sorry.
Webmin använder https protokollet och inte http har jag också för mig.
Brandväggsprojekt
Helt apropå brandväggar, nu spårar jag ur lite grann:
Det finns en hel del andra önskvärda funktioner på brandväggar: t ex VPN med OpenSwan mm, Webbproxy squid, innehållsfiltrering med Willow och DansGuardian, Virussökning av epost via ClamAV och ??, SpamAssasin finns redan inom Evolution men skulle kunna flytttas till en säkerhetsbrandvägg.
VPN använder jag inte längre eftersom jag krypterar allt numera genom SSH och skyddar med långa nycklar. Squid är bra. ClamAV är bra, Willow fungerar okej för att skydda barnen från det värsta på nätet. Astaro hade en intressant lösning för säkerhetsbrandväggar men jag ha inte haft tid att följa deras utveckling.
Det finns en hel del andra önskvärda funktioner på brandväggar: t ex VPN med OpenSwan mm, Webbproxy squid, innehållsfiltrering med Willow och DansGuardian, Virussökning av epost via ClamAV och ??, SpamAssasin finns redan inom Evolution men skulle kunna flytttas till en säkerhetsbrandvägg.
VPN använder jag inte längre eftersom jag krypterar allt numera genom SSH och skyddar med långa nycklar. Squid är bra. ClamAV är bra, Willow fungerar okej för att skydda barnen från det värsta på nätet. Astaro hade en intressant lösning för säkerhetsbrandväggar men jag ha inte haft tid att följa deras utveckling.
/M