abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
dnes 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 1
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 805 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Prosím o názor na řešení firemní brány ...

1.12.2005 14:01 Marek | skóre: 21
Prosím o názor na řešení firemní brány ...
Přečteno: 220×
Vzhledem k tomu, že dosluhuje původní řešení pro firmu s 10 lidmi, zvažuji jak to nejlépe nahradit. Současný stav je server starající se o kompletní řešení tj. mail, web, občas file server a zároveň je DNS, DHCP serverem + squid a firewall. Toto řešení je funkční, ale dělal jsem ho asi 4 roky zpátky a mám pocit, že by si to zasloužilo víc.

Proto zvažuji vyčlenit samostatné PC jako firewall s nějakou minidistribucí určenou pro tento účel (monowall, pfsense, IPcop), případně si pravidla nastavím ručně, to je otázkou jak se to popere s požadavkem na přidělení trafficu s ohledem na IP telefonii a další služby vyžadující trvalý a bezproblémový provoz. Mělo by zvládnout i Squid a DNS cache, což nevidím jako dramatický problém. Musí přes to projít OpenVPN, ale to je věcí softu, nikoliv řešení. Hardareově půjde o Pentium II se 128 MByte RAM, Ethernet 100 MBit.

Jako WEB (veřejný i vnitřní), MAIL (IMAP i SMTP veřejný i vnitřní), FILE a nově PRINT server (vnitřní, vnější pouze přes OpenVPN) bych vyčlenil další počítač, teď již samostatný který zvažuji kam umístit, jestli to pojmout jako větev DMZ, či standardně jako součást vnitřní sítě. Obě řešení jsou samozřejmě technicky možná, ale sám si neumím odpovědět co je lepší a proč. Počítač výkonově odpovídající požadavkům 2xXEON550MHZ, 1GByte RAM, 5x18,2 GByte SCSI (RAID 5).

Z venku 2MBit, uvnitř 100MBit.

Prosím o radu, nejlépe s oddůvodněním proč to tak udělat. NEbo se na to vykašlat a vše udělat jako dřív ??? Žádný dedikovaný HW jako firewall a přímo to spustit vše na jediném stroji ??

Díky za každou radu, Marek

Odpovědi

1.12.2005 15:07 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
Zdravim

Urcite vyhradit extra pocitac jako firewall, je to lepsi.

Vnitrni server ma podle tveho popisu poskytovat sluzby jen pro vnitrni sit, takze bych ho nechal soucasti vnitrni site. Pokud by mel nabizet sluzby i do internetu, tak je o DMZ mozno uvazovat, zalezi na tom jake sluzby by byly videt zvenku a kolik pristupu.

Jde o to, ze kdybys ho mel v DMZ a nekdo ti ho naboural tak se nedostane do vnitrni site. V opacnem pripade by se tam dostal. Jenze muze nabourat firewall (i kdyz tam skoro nic nebezi) a je zase ve vnitrni siti. A pokud by uz naboural server a chtel ziskat firemni data, tak je stejne nenajde na pocitacich na ktere se tak jako tak nedostane, ale najde je na centralnim serveru, kde uz tak jako tak je. Na to bys uz musel mit extra server pro venkovni a extra server pro vnitrni sluzby.

Osobne bych tu DMZ nedelal.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
1.12.2005 17:51 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
Díky za reakci, asi jsem to špatně napsal, ten server, ať už na vnitřní síti nebo na DMZ zóně, bude poskytovat služby i pro vnější svět (SMTP, HTTP, HTTPS, otevřený UDP port pro OpenVPN, toť vše). Co se týče přístupů a provozu SMTP traffic max 100 MByte denně, HTTP nebo HTTPS traffic max 15 MByte denně, OpenVPN tunelem max 100 MByte denně. Tolik k provozu na vnějším rozhraní, které stojí za zmínku.

Takže mě z toho vychází, že udělám dedikovaný počítač pro firewall + DNS cache + SQUID, při hacku maximálně získá kontrolu nad tímto strojem, což nepřináší nic užitečného. Druhý "aplikační" server bude na vnitřní síti pod vlastním malým PF (FreeBSD) firewallkem, takže by ho čekal boj o další pozici, kdyby chtěl získat něco užitečnějšího.

Jsem rád že jsi mě ubezpečil, že DMZ je zbytečný protože žádný významný provoz pro veřejnost tam není (velkou část HTTP provozu je přístup vlastních lidí na informační systém) a sám jsem přemýšlel jestli to dělat nění zbytečné, navíc ve fázi kdy to doposud běželo kompletně na jediném stroji.

Takže jediná otázka zbývá jestli to "ořezávátko" Pentium II/350MHz se 128 MByte RAM je schopno reálně zvládnout provoz včetně BIND a SQUID. Asi to postavím na distribuci Monowall nebo PFsense což je to samé s jiným face.
1.12.2005 19:59 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
BIND pro 10 lidí podle mě nebude na zátězi toho serveru vůbec znát.
1.12.2005 20:31 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
BIND sám o sobě není nic, ale nabalený na router, NAT, SQUID, shapper a další nezbytnosti spojené s provozem vstupní brány/firewallu to již znát být může, nerad bych vytvořil řešení, které bude nejužším místem systému právě na vstupu, kdysi jsem něco podobného řešil kdy byl problém s firewallem, kterému síťovka "brzdila" provoz, prostě malé pakety bez problémů, větší balíky dat -> zpomalení, zahazování, kolize.

Tehdy to byl hloupý 3Com 3C508 do EISA slotu, ale nerad bych to zopakoval v situaci, kdy 2Mbit linku udusím slabým hardwarem, teď používám 100Mbit síťovky 3Com905C, které mě připadnou jako nekonfliktní. Přes server potečou i služby VoIP, takže je velmi nežádoucí bezkolizní běh bez zbytečných překvapení.
1.12.2005 21:14 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
BIND a DHCP s dynamickými aktualizacemi, router s NAT pro 4 klienty mi bez jakýchkoliv potíží dělá pentium 133 se 64 MB RAM se dvěma disky v sw RAID 1. Ještě tam idlí Apache, který vrací každému 403, a pár dalších věcí. :-)

Když to routuje megabit, je procesor idle v 95 - 98 %, když je síť v klidu, tak je idle na 98 - 100 %.* O shapování vím akorát, že existuje a o proxy všeobecně, že může být velmi náročná a to je asi tak všechno :-(

* podle vmstat. Síťovky jsou tyto:
0000:00:08.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10)
0000:00:09.0 Ethernet controller: 3Com Corporation 3cSOHO100-TX Hurricane (rev 30)
1.12.2005 21:28 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
Jde o to, ze kdybys ho mel v DMZ a nekdo ti ho naboural tak se nedostane do vnitrni site.
A nebo naopak. Pro nabourání počítačů v DMZ se používá technika, že útočník napadne počítač ve vnitřní síti a z něj potom vede útok na DMZ - efekt je v tom, že zabezpečení DMZ ze strany vnitřní sítě obvykle bývá menší
Quando omni flunkus moritati
1.12.2005 23:10 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
V tomto mám jasno, bude to bez demilitarizované zóny, jen vnější a vnitřní rozhraní. Jak útočník projde přes firewall je dobrý a projde už asi kamkoliv, takže je jedno jestli skončí v DMZ nebo ve vnitřní síti, škodu napáchá když bude chtít tam i tam.
Josef Kufner avatar 1.12.2005 21:11 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
V jedné instituci spravuju dvojici serverů. První je jako brána do Internetu, běží na něm postfix, dovecat, bind, squid, named, openvpn a pár dalších drobností. Druhý je fileserver, kde je akorát samba a nějaké další drobnosti. Obojí jsou výkonem na úrovni rozumných stolních PC. Logicky je to děleno na "komunikující se světem" a "pouze doma".
Hello world ! Segmentation fault (core dumped)
1.12.2005 23:30 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
Toto zní logicky, ale je to náročnější finančně, nutnost RAID na obou strojích, jednou pro IMAP a firewall, podruhé pro data. Proto se mě zdá být vhodnější mít "hloupý" firewall + zrcadlo disku na vnitřním serveru pro možnost okamžité rekonstrukce i na jiném stroji.

Druhý stroj je již jištěný daleko víc, jde o serverové řešení IBM Netfinity 5600 s redundantním zdrojem, 2 procesor XEON, RAID 5 na 5 x SCSI HDD, 1 GByte RAM, prostě plnohodnotný server, který se stará o důležité služby a data, které mají svou cenu.
2.12.2005 09:00 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Prosím o názor na řešení firemní brány ...
Prosím o názor uživatele monowall nebo PFsense jestli jsou nějaké negativní zkušenosti a jestli vlastně v základu umí přesměrovat vybrané porty do vnitřní dítě (HTTP, SMTP), jak jsou na tom s aktualizací, prostě takovou maličkou rekapitulaci zkušeností, vím že jsou další možné distribuce pro tento účel, nechci tady začít flame mezi zástanci. Monowall nebo PFsense považuji za zdařilé, pozitivní na tom je, že mají vše postaveno na FreeBSD což je pro mě pozitivní, vím kam šáhnout, nemusím hledat.

Jako alternativu zvažuji nějakou minidistribuci, ale když už to někdo vymyslel a navíc se to bude samo aktualizovat, je škoda to nevyužít, ale jak jsem řekl ocenil bych jakoukoliv negativní či pozitivní zkušenost.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.