abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:30 | Zajímavý článek

Mozilla.cz informuje, že webový prohlížeč Firefox bude od verze 53 obsahovat integrovaný prohlížeč dat ve formátu JSON. Firefox kromě strukturovaného prohlížení nabídne také možnost filtrace a uložení na disk. Dle plánu by měl Firefox 53 vyjít 18. 4. 2017.

Ladislav Hagara | Komentářů: 0
dnes 11:00 | Komunita

Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už zítra 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.

xkucf03 | Komentářů: 0
včera 21:55 | Komunita

Nadace pro svobodný software (FSF) oznámila aktualizaci seznamu prioritních oblastí (changelog), na které by se měli vývojáři a příznivci svobodného softwaru zaměřit. Jsou to například svobodný operační systém pro chytré telefony, hlasová a video komunikace nebo softwarový inteligentní osobní asistent.

Ladislav Hagara | Komentářů: 10
včera 16:44 | Nová verze

Byla vydána verze 2.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu.

Ladislav Hagara | Komentářů: 0
včera 15:33 | Komunita

V australském Hobartu probíhá tento týden konference linux.conf.au 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0
včera 10:20 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje bitmapovým (rastrovým) grafickým editorům ve Fedoře. V prvním dílu se věnuje editorům MyPaint, MtPaint, Pinta, XPaint, Krita a GIMP. V pokračování pak editorům GNU Paint (gpaint), GrafX2, KolourPaint, KIconEdit a Tux Paint.

Ladislav Hagara | Komentářů: 1
16.1. 17:11 | Komunita

Byl proveden bezpečnostní audit svobodného IMAP a POP3 serveru Dovecot (Wikipedie). Audit byl zaplacen z programu Mozilla Secure Open Source a provedla jej společnost Cure53. Společnost Cure53 byla velice spokojena s kvalitou zdrojových kódu. V závěrečné zprávě (pdf) jsou zmíněny pouze 3 drobné a v upstreamu již opravené bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
16.1. 15:30 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi Compute Module 3 (CM3 a CM3L), tj. zmenšené Raspberry Pi vhodné nejenom pro průmyslové využití. Jedná se o nástupce Raspberry Pi Compute Module (CM1) představeného v dubnu 2014. Nový CM3 vychází z Raspberry Pi 3 a má tedy dvakrát více paměti a desetkrát větší výkon než CM1. Verze CM3L (Lite) je dodávána bez 4 GB eMMC flash paměti. Uživatel si může připojit svou vlastní. Představena byla

… více »
Ladislav Hagara | Komentářů: 2
16.1. 01:23 | Nová verze

Oficiálně bylo oznámeno vydání verze 3.0 multiplatformního balíku svobodných kancelářských a grafických aplikací Calligra (Wikipedie). Větev 3 je postavena na KDE Frameworks 5 a Qt 5. Krita se osamostatnila. Z balíku byly dále odstraněny aplikace Author, Brainstorm, Flow a Stage. U Flow a Stage se předpokládá jejich návrat v některé z budoucích verzí Calligry.

Ladislav Hagara | Komentářů: 7
15.1. 15:25 | Nová verze

Bylo oznámeno vydání první RC (release candidate) verze instalátoru pro Debian 9 s kódovým názvem Stretch. Odloženo bylo sloučení /usr jako výchozí nastavení v debootstrap. Vydán byl také Debian 8.7, tj. sedmá opravná verze Debianu 8 s kódovým názvem Jessie.

Ladislav Hagara | Komentářů: 6
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (3%)
 (75%)
 (3%)
 (10%)
Celkem 314 hlasů
 Komentářů: 24, poslední včera 10:14
    Rozcestník
    Reklama

    Dotaz: Prosím o názor na řešení firemní brány ...

    1.12.2005 14:01 Marek | skóre: 21
    Prosím o názor na řešení firemní brány ...
    Přečteno: 221×
    Vzhledem k tomu, že dosluhuje původní řešení pro firmu s 10 lidmi, zvažuji jak to nejlépe nahradit. Současný stav je server starající se o kompletní řešení tj. mail, web, občas file server a zároveň je DNS, DHCP serverem + squid a firewall. Toto řešení je funkční, ale dělal jsem ho asi 4 roky zpátky a mám pocit, že by si to zasloužilo víc.

    Proto zvažuji vyčlenit samostatné PC jako firewall s nějakou minidistribucí určenou pro tento účel (monowall, pfsense, IPcop), případně si pravidla nastavím ručně, to je otázkou jak se to popere s požadavkem na přidělení trafficu s ohledem na IP telefonii a další služby vyžadující trvalý a bezproblémový provoz. Mělo by zvládnout i Squid a DNS cache, což nevidím jako dramatický problém. Musí přes to projít OpenVPN, ale to je věcí softu, nikoliv řešení. Hardareově půjde o Pentium II se 128 MByte RAM, Ethernet 100 MBit.

    Jako WEB (veřejný i vnitřní), MAIL (IMAP i SMTP veřejný i vnitřní), FILE a nově PRINT server (vnitřní, vnější pouze přes OpenVPN) bych vyčlenil další počítač, teď již samostatný který zvažuji kam umístit, jestli to pojmout jako větev DMZ, či standardně jako součást vnitřní sítě. Obě řešení jsou samozřejmě technicky možná, ale sám si neumím odpovědět co je lepší a proč. Počítač výkonově odpovídající požadavkům 2xXEON550MHZ, 1GByte RAM, 5x18,2 GByte SCSI (RAID 5).

    Z venku 2MBit, uvnitř 100MBit.

    Prosím o radu, nejlépe s oddůvodněním proč to tak udělat. NEbo se na to vykašlat a vše udělat jako dřív ??? Žádný dedikovaný HW jako firewall a přímo to spustit vše na jediném stroji ??

    Díky za každou radu, Marek

    Odpovědi

    1.12.2005 15:07 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    Zdravim

    Urcite vyhradit extra pocitac jako firewall, je to lepsi.

    Vnitrni server ma podle tveho popisu poskytovat sluzby jen pro vnitrni sit, takze bych ho nechal soucasti vnitrni site. Pokud by mel nabizet sluzby i do internetu, tak je o DMZ mozno uvazovat, zalezi na tom jake sluzby by byly videt zvenku a kolik pristupu.

    Jde o to, ze kdybys ho mel v DMZ a nekdo ti ho naboural tak se nedostane do vnitrni site. V opacnem pripade by se tam dostal. Jenze muze nabourat firewall (i kdyz tam skoro nic nebezi) a je zase ve vnitrni siti. A pokud by uz naboural server a chtel ziskat firemni data, tak je stejne nenajde na pocitacich na ktere se tak jako tak nedostane, ale najde je na centralnim serveru, kde uz tak jako tak je. Na to bys uz musel mit extra server pro venkovni a extra server pro vnitrni sluzby.

    Osobne bych tu DMZ nedelal.

    Zdenek
    www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
    1.12.2005 17:51 Marek | skóre: 21
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    Díky za reakci, asi jsem to špatně napsal, ten server, ať už na vnitřní síti nebo na DMZ zóně, bude poskytovat služby i pro vnější svět (SMTP, HTTP, HTTPS, otevřený UDP port pro OpenVPN, toť vše). Co se týče přístupů a provozu SMTP traffic max 100 MByte denně, HTTP nebo HTTPS traffic max 15 MByte denně, OpenVPN tunelem max 100 MByte denně. Tolik k provozu na vnějším rozhraní, které stojí za zmínku.

    Takže mě z toho vychází, že udělám dedikovaný počítač pro firewall + DNS cache + SQUID, při hacku maximálně získá kontrolu nad tímto strojem, což nepřináší nic užitečného. Druhý "aplikační" server bude na vnitřní síti pod vlastním malým PF (FreeBSD) firewallkem, takže by ho čekal boj o další pozici, kdyby chtěl získat něco užitečnějšího.

    Jsem rád že jsi mě ubezpečil, že DMZ je zbytečný protože žádný významný provoz pro veřejnost tam není (velkou část HTTP provozu je přístup vlastních lidí na informační systém) a sám jsem přemýšlel jestli to dělat nění zbytečné, navíc ve fázi kdy to doposud běželo kompletně na jediném stroji.

    Takže jediná otázka zbývá jestli to "ořezávátko" Pentium II/350MHz se 128 MByte RAM je schopno reálně zvládnout provoz včetně BIND a SQUID. Asi to postavím na distribuci Monowall nebo PFsense což je to samé s jiným face.
    1.12.2005 19:59 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    BIND pro 10 lidí podle mě nebude na zátězi toho serveru vůbec znát.
    1.12.2005 20:31 Marek | skóre: 21
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    BIND sám o sobě není nic, ale nabalený na router, NAT, SQUID, shapper a další nezbytnosti spojené s provozem vstupní brány/firewallu to již znát být může, nerad bych vytvořil řešení, které bude nejužším místem systému právě na vstupu, kdysi jsem něco podobného řešil kdy byl problém s firewallem, kterému síťovka "brzdila" provoz, prostě malé pakety bez problémů, větší balíky dat -> zpomalení, zahazování, kolize.

    Tehdy to byl hloupý 3Com 3C508 do EISA slotu, ale nerad bych to zopakoval v situaci, kdy 2Mbit linku udusím slabým hardwarem, teď používám 100Mbit síťovky 3Com905C, které mě připadnou jako nekonfliktní. Přes server potečou i služby VoIP, takže je velmi nežádoucí bezkolizní běh bez zbytečných překvapení.
    1.12.2005 21:14 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    BIND a DHCP s dynamickými aktualizacemi, router s NAT pro 4 klienty mi bez jakýchkoliv potíží dělá pentium 133 se 64 MB RAM se dvěma disky v sw RAID 1. Ještě tam idlí Apache, který vrací každému 403, a pár dalších věcí. :-)

    Když to routuje megabit, je procesor idle v 95 - 98 %, když je síť v klidu, tak je idle na 98 - 100 %.* O shapování vím akorát, že existuje a o proxy všeobecně, že může být velmi náročná a to je asi tak všechno :-(

    * podle vmstat. Síťovky jsou tyto:
    0000:00:08.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10)
    0000:00:09.0 Ethernet controller: 3Com Corporation 3cSOHO100-TX Hurricane (rev 30)
    1.12.2005 21:28 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    Jde o to, ze kdybys ho mel v DMZ a nekdo ti ho naboural tak se nedostane do vnitrni site.
    A nebo naopak. Pro nabourání počítačů v DMZ se používá technika, že útočník napadne počítač ve vnitřní síti a z něj potom vede útok na DMZ - efekt je v tom, že zabezpečení DMZ ze strany vnitřní sítě obvykle bývá menší
    Quando omni flunkus moritati
    1.12.2005 23:10 Marek | skóre: 21
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    V tomto mám jasno, bude to bez demilitarizované zóny, jen vnější a vnitřní rozhraní. Jak útočník projde přes firewall je dobrý a projde už asi kamkoliv, takže je jedno jestli skončí v DMZ nebo ve vnitřní síti, škodu napáchá když bude chtít tam i tam.
    Josef Kufner avatar 1.12.2005 21:11 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    V jedné instituci spravuju dvojici serverů. První je jako brána do Internetu, běží na něm postfix, dovecat, bind, squid, named, openvpn a pár dalších drobností. Druhý je fileserver, kde je akorát samba a nějaké další drobnosti. Obojí jsou výkonem na úrovni rozumných stolních PC. Logicky je to děleno na "komunikující se světem" a "pouze doma".
    Hello world ! Segmentation fault (core dumped)
    1.12.2005 23:30 Marek | skóre: 21
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    Toto zní logicky, ale je to náročnější finančně, nutnost RAID na obou strojích, jednou pro IMAP a firewall, podruhé pro data. Proto se mě zdá být vhodnější mít "hloupý" firewall + zrcadlo disku na vnitřním serveru pro možnost okamžité rekonstrukce i na jiném stroji.

    Druhý stroj je již jištěný daleko víc, jde o serverové řešení IBM Netfinity 5600 s redundantním zdrojem, 2 procesor XEON, RAID 5 na 5 x SCSI HDD, 1 GByte RAM, prostě plnohodnotný server, který se stará o důležité služby a data, které mají svou cenu.
    2.12.2005 09:00 Marek | skóre: 21
    Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
    Prosím o názor uživatele monowall nebo PFsense jestli jsou nějaké negativní zkušenosti a jestli vlastně v základu umí přesměrovat vybrané porty do vnitřní dítě (HTTP, SMTP), jak jsou na tom s aktualizací, prostě takovou maličkou rekapitulaci zkušeností, vím že jsou další možné distribuce pro tento účel, nechci tady začít flame mezi zástanci. Monowall nebo PFsense považuji za zdařilé, pozitivní na tom je, že mají vše postaveno na FreeBSD což je pro mě pozitivní, vím kam šáhnout, nemusím hledat.

    Jako alternativu zvažuji nějakou minidistribuci, ale když už to někdo vymyslel a navíc se to bude samo aktualizovat, je škoda to nevyužít, ale jak jsem řekl ocenil bych jakoukoliv negativní či pozitivní zkušenost.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.