|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: misho |
Дата: 01/12/2003 |
Imam instaliran rh 7.3 i iskam da imam kontrol warhu
towa koeto mogat da prawiat potrebitelite w nego.
Na mashinata imam 2 ip adresa - edinia e w lokalnata mreja,
a drugia e za
dostap ot internet.
Moga li da ogranicha zadaden potrebitel koito wliza prez
internet da ne moje da wijda
adresite ot lokalnata mreja i da ne moje da chete failowete
s parolite
(naprimer na SAMBA-ta).
Towa e priako swarzano sas sigurnostta na watreshnata
mreja.
Ot druga strana za men sasto e mnogo wajno, zastoto ako
uspeia da nastroia
sistemata sigurno ste moga da ubedia i uprawitelia na
firmata w nowia ni ofis da ne kupuwa licenzi
za Windows, a da polzwame linux.
Ako ogranicheniata se nalagat trudno ili ne sa wazmojni w
linux, ste sam blagodaren
da go znam, za da ne se izlagam i da predlagam nesta koito
ne mogat da se naprawiat.
Blagodaria predwaritelno.
|
Отговор #1 |
От: Никола Антонов (linux__at__logos __точка__ goto __точка__ bg) |
Дата: 01/12/2003 |
Решението за защита на вътрешната мрежа е лесно, става с
iptables. Достатъчно е да пуснеш NAT и да въведеш политика
DROP за входящите пакети през интерфейса, който те свързва с
интернет. Но кажи първо как си решил поделянето на
интернет-достъпа. Относно SAMBA-та, има една глобална
директива hosts allow, с която можеш да посочиш кои хостове,
т.е. от коя мрежа, могат да ползват поделените услуги.
Отделно, за повече защита, можеш да въведеш security = user
(вместо share) или дори security = domain, но и тук е добре
да кажеш точно какво искаш да постигнеш. Сигурността е първото
нещо, за което се мисли в Линукс, можеш да направиш практически
всичко, което би ти дошло наум. Стига да знаеш точно какво
искаш:)
|
Отговор #2 |
От: Misho |
Дата: 01/12/2003 |
Ami oste nisto ne sam reshil.
Problema e slednia:
imam dwa adresa - edin realen i edin 10.x.x.x.
Sled kato dam dostap na opredelen user do mashinata ( sled
kato go registriram i si ima ime i parola) iskam
toi da moje da se logwa ot realnite adresi - zastoto toi
idwa ot tam,
no sled kato se log-ne na linux-mashinata ne iskam da moje
da wijda nito
watreshnite adresi ot tipa 10.x.x.x nito da polzwa uslugite
( samba e edna ot tiah) swarzani s tazi
podmreja.
Dostapa do mashinata sam go reshil prez NAT na cisco, ostawa
problema sled kato usera e
weche na mashinata da ne wijda watre w ofisa, zastoto towa
sa wanshni za firmata
lica.
|
Отговор #4 |
От: Misho |
Дата: 01/12/2003 |
Ami poluchawat ssh dostap i sled towa
mogat da naprawiat ssh-tunel i da si puskat
razni programki na mashinata za da e kriptirana wrazkata.
|
Отговор #5 |
От: Misho |
Дата: 01/12/2003 |
Ako niama niakoi koito da moje swestno da otgowori,
pone daite informacia za dobar forum po sweta na takiwa
temi.
|
Отговор #6 |
От: SGM (sgm< at >abv[ точка ]bg) |
Дата: 01/12/2003 |
Pich, mnogo svqstno ti otgovarqt tuk, no ako i ti izmislish
kakvo tochno iskash ili ako si go izmislil da vzemesh da go
napishesh, che da mogat da ti otgovorqt. Kakvo iskash -
userite ti da se logvat na servera, koito ima realno ip ili
da minavat prez nego i da se logvat na tehnite mashini?
|
Отговор #7 |
От: Misho |
Дата: 01/13/2003 |
Sigurno mi otgowariat swiasno,
samo deto niama otgowor.
Iskam opredleni usr-i sled kato se log-nat ot realnia adres
da ne mogat da wijdat watreshia.
T.e. ako takaw user lognat na mashinata ot realen adres prez
ssh date netstat -rn ili ping i t.n. da vijda
samo realnia adres, no ne i watreshnia.
Ako toi moje da widi watreshnia adres, ste traibwa da prawim
mnogo drugi nastroiki
po mrejata, za da mu zabranim dostapa do ostanalite mashini
.
Dano da e iasno, kakto sam go napisal.
SGM, procheti otgoworite i mo kaji kade wijdash swesten
otgowor.
Towa, che moga da naprawia wsichko s linux sam go chuwal
mnogo pati.
Dosta raboti moga da gi naprawi, no takaw otgowor
ne mi dawa nasoka.
Ako ne moga da go naprawia (to i s Windows sigurno ne moje),
no nachalnicite
ste darjat da se sloji Windows i sigurno sled 5 godini pak
ste
stane duma za linux. A ne mi se chaka.
|
Отговор #8 |
От: SGM (sgm__at__abv< dot >bg) |
Дата: 01/13/2003 |
Znachi tozi pat e dosta po-qsno. Ako pravilno sam te razbral
iskash da si izpolzvash servera vav vatreshnata mreja za
neshto, iskash da go izpolzvat i drugi hora otvan, no te da
ne vijdat vatreshnata mreja. Az lichno neznam nachin tova da
stane, osven mojesh da probvash da promenish permission-ite
na failovete (napr smbclient za samba) i t.n. No spored men
ne e logichno da pozvolqvash na userite ti da ti se logvat
na servera apak da se pritesnqvash za LAN-a :). Ti si znaesh
nai-dobre.
Uspeh.
|
Отговор #9 |
От: Misho |
Дата: 01/13/2003 |
Mai e tochno taka.
Za sega ne wijdam nachin da se naprawi s edna mashina
i s linux-a ste izchakam do po-dobri wremena.
Inache teoriata, che moje wsichko si ostawa samo mechta.
Problema koito postawiam ne e samo hipotetichen.
W moia sluchai stawa duma za mashina s 4 procesora
i spora beshe dali da se sloji na linux ili Windows.
Razbira se dwe takiwa mashini ne mojem da wzemem i mi e
chudno kak si reshawat
takiwa problemi korporatiwnite klienti na linux?
Blagodaria za otgowora i ako ima wse pak niakakaw
po-profesionalen forum po sweta bih tarsil wazmojnost
do posledno da se preboria za linux.
|
Отговор #10 |
От: |
Дата: 01/13/2003 |
A kakav e problema tozi linux da se konfigurira kato
Firewall s DMZ i vanshnite useri da imat dostap do DMZ-to,
no ne i do vatreshnata mreja? To daje si ima gotovi takiva
distribucii, deto vsichko si e napraveno. Daje Mandrake
obiaviha che i te puskat takova neshto.
Mislia che beshe tova:
http://www.mandrakesoft.com/products/mnf
|
Отговор #11 |
От: |
Дата: 01/13/2003 |
P.S.
Ako niamash 2-ra mashina za 3 leg Firewall+DMZ, moje da
napravish virtualen linux v linuxa, kato polzvash chroot
environment ili jail environment. Jail e po-moshtno
sredstvo. Nai-dobre idi poprocheti parvo za DMZ-tata i za
jail, za da si izbistrish predstavata, shtot to moje i da ne
ti se nalaga da pravish chak takiva chudesa. Vij i toia
Firewall na Mandrake dali niama da e dostatachen. Izglejda
dosta obeshtavasht.
Ako ne namerish ot kade da prochetesh, svirkai shte postna
linkove.
|
Отговор #12 |
От: Никола Антонов (linux__at__logos__dot__goto__dot__bg) |
Дата: 01/13/2003 |
Струва ми се, че съвсем добронамерено и коректно подходих
към вопроса ти. Каквото повикало, такова се обадило. Подаваш
ръка, а той ти я отхапва. Преди да изказваш претенции за
качествата на отговорите тук, дай си сметка за въпросите. На
мен не ми плащат, за да следя постингите в този форум, от
време навреме съм на работа, ей така случайно, и когато 150
села са без ток, се сещаш, че отношенията ти с твоя шеф са
последното нещо, което ме интересува.
Това, което искаш да постигнеш, може да се реши на две нива
- на ниво ядро (вж. grsecurity) и на ниво цялостна защита на
системата (вж. проекта bastille, който впрочем ползват от
Mandrake). URL-тата ще си намериш сам. Четеш и пробваш, нали все
пак трябва да си заслужиш заплатата.
|
Отговор #13 |
От: Misho |
Дата: 01/13/2003 |
Ste probwam Firewall+DMZ, dano da stane.
10x za saweta.
Na drugia kolega s rakata i toka:
Ne sam te karal da otgowariash na waprosa.
Ako znaesh dobre, ako ne znaesh pak dobre.
Ne sam ochakwal da se grijish nito za otnosheniata mi s moia
nachalnik,
nito da mi dawash sawet kak da si zarabotwam zaplatata.
Pitah za lesen nachin da si resha problema i dali niakoi go
e prawil. Ako go e prawil i dade nasoka, ste si cheta i sam.
Triabwashe mi da znam dali moje da se
naprawi ili ne ( ot chowek koito go e naprawil i polzwa).
Za kachestwoto na otgoworite ostawi az da si precenia kakwi
sa ( ne teb i ne ti plastat za towa mai).
|
Отговор #14 |
От: Никола Антонов (linux __@__ logos[ точка ]goto[ точка ]bg) |
Дата: 01/13/2003 |
Хубаво, разбрахме се. За SAMBA-та... не забравяй за
hosts allow = 10.0.0. 127.0.0.1
Така хостовете извън посочената мрежа няма да могат да ползват
услугите.
|
<< SuSE 8.1 and bglinux ?? (0
) | hda error (0
) >>
|
|
|
|
|