[FUGSPBR] Re: Network Streaming audi.
Vinicius Moreira Mello
vinicius em lineone.net
Sex Set 14 12:28:50 BRT 2001
Oi,
Voce nao consegue chegar as portas POP3 e SMTP porque esses servicos estao na rede interna e ela nao tem IPs
roteaveis validos.
Pelo o que estou entendendo essa sua maquina "FIREWALL" eh uma maquina dual-homed host com filtragem de pacotes...se
alguem conseguir entrar na FIREWALL por algum bug desses servicos que estao rodando esse alguem tera' acesso a rede interna
podendo capturar dados importantes..
Eu sugiro a seguinte configuracao:
INTERNET
|
| / - - SERVER 1 (DNS 1, DNS 2, PROXY)
ROUTER - (if. externa)
| \ - - SERVER 2 (HTTP, SMTP, POP3)
|
|
( if. interna )
Rede Interna
Ou seja, voce coloca a rede interna e a rede externa em diferentes interfaces do roteador. Isso e' mais seguro no sentido que
um roteador e' mais dificil de ser penetrado do que uma maquina rodando varios servicos. (so' nao esqueca de desabilitar
qualquer login externo no roteador...permita apenas manipulacao do roteador via console). Quem fará agora o filtro de pacotes
agora será o roteador. Crie regras que não permitam que a rede interna envie pacotes diretamente para a Internet e nem
receba dados que não sejam de SERVER 1 e SERVER 2. Tambem nao deixe que a rede interna confie demais nos dois servidores,
para no caso de algum deles ser invadido a rede interna nao ser comprometida. O SERVER 1 e SERVER 2 nao precisam fazer
filtragem de pacotes, visto que o roteador pode fazer isso pra eles, apenas configure neles os servicos de forma segura, e o
rode o DNS de prefirencia em ambiente chroot.
Existem com certeza outras maneiras tambem seguras de fazer a arquitetura da sua rede. Eu sugeri essa porque mantem o
numero de maquinas que voce citou na configuracao original (e ainda libera a antiga maquina "FIREWALL" para ser uma cliente
da rede interna ou mais um servidor na rede externa).
--
Vinicius
Jefferson Carvalho wrote:
> --------ROUTER----------
> |
> |
> FIREWALL ( FreeBSD 4.3 - Apache + FTP Server )
> |
> _ external interface
>
> _ internal interface ----------- |
> |
> |
> |
> Network ( 172.16.99.0 )
> |
> |
> -------------------- |
> |
> |
> --------------------- DNS 1 + PROXY ( 172.16.99.50 )
> --------------------- DNS 2 + Mail Server ( 172.16.99.51 )
>
> - Depois de auditar o que eu precisaria liberar pra minha network
> cheguei a seguinte conclusão.
>
> Para o Meu DNS1 :
> UDP 53
> Para o Meu DNS2 :
> UDP 53
> TCP 25
> TCP 110
> O problema é que se eu der um IP DENY para as máquinas
> acima , mesmo depois de ter dado um allow nas portas
> de serviços tenho algums problemas :
>
> DNS1 :
>
> Meus usuários ficam sem navegar.
>
> DNS2 :
>
> Não consigo chegar nas portas de POP3
> e SMTP por fora da minha rede.
>
> O que eu fiz ???
>
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd