Nuno
11.08.02, 23:55
Hallo Gemeinde :-)
ich würde hier ganz gern mal zum Brainstorming aufrufen :p
Derzeitige Situation :
DSL-Zugang mit fli4l für das kleine Lan mit mehreren Win und Linux Kisten.
War bisher auch ganz OK, und vor allem hab ich mich lieber auf die schnelle mit dem fli4l auseinandergesetzt und ans rennen gebracht anstatt ohne Plan ein löchriges iptables aufzusetzen ;-)
So langsam möchte ich nun aber mal drangehen das GW zu "tunen".
Die Frage ist nun die, wie weit komme ich mit Linux-Bordmitteln um etwas vergleichbares wie eine Raptor-Firewall hinzubekommen ???
( für diejenigen denen Raptor nichts sagt : dies ist ein Application Level Gateway mit diversen Proxies welche auch noch prüfen ob der Traffic RFC-konform ist )
Da eine Raptor aber teuer ist möcht ich das mit Linux machen :-)
Fangen wir mal an :
- iptables
damit hab ich ja zumindest schonmal so etwas wie stateful inspection wenn ich das bisher richtig verstanden habe
- squid
brauch ich als proxie damit die verbindung ins web nicht vom client gemacht wird
- evtl bind
für die externe dns-auflösung
- ids
wäre auch ganz praktisch um evtl etwas mehr bezgl angriffen zu sehen, oder ist da das logging von netfilter vollkommen ausreichend ?
Hab ich noch was vergessen ???
Umsetzung :
- normal auf Festplatte oder von bootfähiger CD ???
- logfiles lokal oder an syslog server ? ( bei cd ja eh notwendig )
- was wird wohl für Hardware notwendig sein damit das ganze auch noch perfomant läuft ??? Mit einem P90 wird das wohl irgendwann eng werden ???
Hab auch noch einen P2 266 mit 98MB Ram rumstehen ...
Als Ausgangsbasis hätte ich ein Redhat 7.3 genommen, aber wenn ich schon so eine Kiste basteln will wäre dann wohl dann auch eigener Kernel compilieren usw angesagt ;-) ?
Sicherlich wird der Ausbau stufenweise erfolgen, denn sonst wird das ja nie was ... muss mich in die einzelnen Thematiken ja auch erst einarbeiten ...
Quellen für iptables usw gibts ja genug ... und das mit dem Kernel mache ich dann am Schluss ...
Wie seht Ihr das bzw habt evtl schon ähnliches umgesetzt ???
Bin gespannt auf eure Antworten :-))
ich würde hier ganz gern mal zum Brainstorming aufrufen :p
Derzeitige Situation :
DSL-Zugang mit fli4l für das kleine Lan mit mehreren Win und Linux Kisten.
War bisher auch ganz OK, und vor allem hab ich mich lieber auf die schnelle mit dem fli4l auseinandergesetzt und ans rennen gebracht anstatt ohne Plan ein löchriges iptables aufzusetzen ;-)
So langsam möchte ich nun aber mal drangehen das GW zu "tunen".
Die Frage ist nun die, wie weit komme ich mit Linux-Bordmitteln um etwas vergleichbares wie eine Raptor-Firewall hinzubekommen ???
( für diejenigen denen Raptor nichts sagt : dies ist ein Application Level Gateway mit diversen Proxies welche auch noch prüfen ob der Traffic RFC-konform ist )
Da eine Raptor aber teuer ist möcht ich das mit Linux machen :-)
Fangen wir mal an :
- iptables
damit hab ich ja zumindest schonmal so etwas wie stateful inspection wenn ich das bisher richtig verstanden habe
- squid
brauch ich als proxie damit die verbindung ins web nicht vom client gemacht wird
- evtl bind
für die externe dns-auflösung
- ids
wäre auch ganz praktisch um evtl etwas mehr bezgl angriffen zu sehen, oder ist da das logging von netfilter vollkommen ausreichend ?
Hab ich noch was vergessen ???
Umsetzung :
- normal auf Festplatte oder von bootfähiger CD ???
- logfiles lokal oder an syslog server ? ( bei cd ja eh notwendig )
- was wird wohl für Hardware notwendig sein damit das ganze auch noch perfomant läuft ??? Mit einem P90 wird das wohl irgendwann eng werden ???
Hab auch noch einen P2 266 mit 98MB Ram rumstehen ...
Als Ausgangsbasis hätte ich ein Redhat 7.3 genommen, aber wenn ich schon so eine Kiste basteln will wäre dann wohl dann auch eigener Kernel compilieren usw angesagt ;-) ?
Sicherlich wird der Ausbau stufenweise erfolgen, denn sonst wird das ja nie was ... muss mich in die einzelnen Thematiken ja auch erst einarbeiten ...
Quellen für iptables usw gibts ja genug ... und das mit dem Kernel mache ich dann am Schluss ...
Wie seht Ihr das bzw habt evtl schon ähnliches umgesetzt ???
Bin gespannt auf eure Antworten :-))