[zorp-hu] tuzfal zorppal

Balazs Scheidler bazsi@balabit.hu
Fri, 27 Oct 2000 18:19:48 +0200


hali,

> sikerult elinditani a zorpot 
> mukodget is web bentrol kifele  kintrol web a dmz be
> ssh is muxik kifele
> a kimeno ftp valamiert akadozik. A kapcsolat felepul,
> login name beirasa utan megall és varakozik.
> az ipchains deny logolva van ott nem latszik hogy barmit visszautasitana
> 

sajnos az Ftp proxy-val meg gondok vannak, dolgozom rajta. Atmenetileg az
fwtk ftp proxyjahoz tudok transzparencia patcheket kuldeni. (ami mukodik is)

> kerdesek:
>  a levelezest hogy erdemes atengedni ? 

mi az SMTP-t, DNS-t es NTP-t nativ proxyval szoktuk atengedni, ami azt
jelenti, hogy rendes MTA-t, DNS es NTP szervert futtatunk a tuzfalon,
termeszetesen kicsit bezarva. MTA-nak sendmail-t ajanlok, az egyetlen
forras-auditon atesett MTA, amiota megtortent nem volt benne exploit. DNS
maceras, bind-et mindenkeppen nem-root-kent, esetleg chroot-ba zarva.
NTP-nek (ha szukseges ntpd-t hasznalunk).

Termeszetesen ipchains-zel korlatozni kell mind a DNS, mind az NTP
csomagokat, csak megbizhato forwardertol, NTP szervertol fogadni el
csomagokat. DNS eseten ez addig jarhato, amig nem szolgaltatsz a kulso labon
DNS-t. (sajat zonat).

> gondolom a mail szervert erdemes a dmz be rakni

mail szervert a belso halora erdemes rakni, hacsak nem szolgaltat kifele pl.
pop3-t. Az emberek levelei kemenyen vedett informacionak szamitanak.

> de a levelek hogy jutnak el hozza a tuzfalon keresztul ?

sendmail mailertable:

.valami.hu	smtp:[10.0.0.2]

ahol 10.0.0.2 a belso mail szerver IP-je.

> a kulso dns -t erdemes (vagy kell) a tuzfalon hagyni?
> ha a kerdesek nem idevalok akkor esetleg maganban ?

szerintem johet ide nyugodtan.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
     url: http://www.balabit.hu/pgpkey.txt