hali,

sikerult elinditani a zorpot mukodget is web bentrol kifele kintrol web a dmz be ssh is muxik kifele a kimeno ftp valamiert akadozik. A kapcsolat felepul, login name beirasa utan megall és varakozik. az ipchains deny logolva van ott nem latszik hogy barmit visszautasitana

sajnos az Ftp proxy-val meg gondok vannak, dolgozom rajta. Atmenetileg az fwtk ftp proxyjahoz tudok transzparencia patcheket kuldeni. (ami mukodik is)

kerdesek: a levelezest hogy erdemes atengedni ?

mi az SMTP-t, DNS-t es NTP-t nativ proxyval szoktuk atengedni, ami azt jelenti, hogy rendes MTA-t, DNS es NTP szervert futtatunk a tuzfalon, termeszetesen kicsit bezarva. MTA-nak sendmail-t ajanlok, az egyetlen forras-auditon atesett MTA, amiota megtortent nem volt benne exploit. DNS maceras, bind-et mindenkeppen nem-root-kent, esetleg chroot-ba zarva. NTP-nek (ha szukseges ntpd-t hasznalunk). Termeszetesen ipchains-zel korlatozni kell mind a DNS, mind az NTP csomagokat, csak megbizhato forwardertol, NTP szervertol fogadni el csomagokat. DNS eseten ez addig jarhato, amig nem szolgaltatsz a kulso labon DNS-t. (sajat zonat).

gondolom a mail szervert erdemes a dmz be rakni

mail szervert a belso halora erdemes rakni, hacsak nem szolgaltat kifele pl. pop3-t. Az emberek levelei kemenyen vedett informacionak szamitanak.

de a levelek hogy jutnak el hozza a tuzfalon keresztul ?

sendmail mailertable: .valami.hu smtp:[10.0.0.2] ahol 10.0.0.2 a belso mail szerver IP-je.

a kulso dns -t erdemes (vagy kell) a tuzfalon hagyni? ha a kerdesek nem idevalok akkor esetleg maganban ?

szerintem johet ide nyugodtan. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt