Discussione: [howto in lavorazione]firewall aziendale
View Single Post
Old 26-04-2007, 16:13   #18
HexDEF6
Senior Member
 
L'Avatar di HexDEF6
 
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
ciao

riguardo l'uso del wireless eccone uno semplice semplice...

https://faberlibertatis.org/wiki/Hot...an_Sarge_HOWTO

in pratica:

qualsiasi client riceve un indirizzo ip dal dhcpd di chillispot e non da quello
del routerino che va disabilitato ovviamente.
non si deve usare crittazione alcuna in quanto ci pensa chillispot ad autenticare in https.

puoi giocare in varie maniere sulle conf, al fine di ottimizzare e o facilitare il login e/o quello che gli utenti possono fare.
personalmente autentico gli utenti in base al mac con ip statico e poi tramite
firewall garantisco permission ecc...
grazie per il link... ci darò un'occhiata!
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
il top che ho in progetto è utilizzare snort_inline con iptables in modo tale
da segare immediatamente ogni abuso del servizio.
snort e' un bell'oggetto, ma per poterlo mettere a posto decentemente ci si perde troppo tempo...
si vedra' piu' avanti per cose del genere....
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
chiedi pure per info, ovviamente per la paranoia massima è possibile fare mille giochetti, ma il prob non sono questi ultimi, ma la mantenzione ordinaria che poi nel mio caso va demandata a personaggi non del settore, spero sia chiaro
dove voglio arrivare....
appunto!
comunque ti ringrazio gia in anticipo per l'offerta di aiuto!
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
mi spiace per gli switch sfigati, ma se non ti servono le vlan non le usare,
talvolta portano molti problemi sopratutto se l'hardware è scarso e/o non si
sanno bene usare i vari accrocchi, vedi spanning-tree ecc..
alla fine mi bastano e avanzano, visto che mi hanno separato fisicamente la rete wired e wireless (siccome l'ufficio e' su 3 piani forse mi davano un solo collegamento tra piani, ma alla fine sono riuscito ad averne 2, e quindi gli AP vengono attaccati ad un altro switch e arriveranno al server attraverso un'altra interfaccia di rete)
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
ho letto che usi redhat che personalmente odio.....
non sei il solo
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
io uso slackware in tutti i server in produzione che gestisco, ho anche server
con redhat per carità, anzi uno di questi è un resolver che è su da 1028 giorni,
a Pasqua abbiamo festeggiato
tuttavia non amo avere un server che appena installato mi succhia 200 mega di ram è mi avvia 800 servizi che non servono a nessuno e a niente....
perdo troppo tempo a metterla apposto e non ho necessità di avere nessun tipo di supporto da questo lato.
io avrei usato volentieri qualsiasi altra cosa!, debian gentoo ubuntu.... forse la slack no (non mi e' mai piaciuta... ma credo siano gusti)
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
se scegli bene a priori l'hardware di cui avrai bisogno il supporto non ti serve a niente, esiste sempre una soluzione alternativa, o quasi sempre.
l'hardware e' certificato redhat, ma funziona con qualsiasi distribuzione linux recente (knoppix e kanotix ci girano benone) ma come sempre le scelte hardware/software non le fanno i tecnici (e comunque hanno fatto l'ordine ancora prima che venissi assunto), ma il reparto acquisti, quindi questo ho e questo mi tengo (sperando almeno nell'upgrade della redhat... altrimenti mi tocchera mettere debian e far fare la muffa a 1000 euro di licenza)
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
cmq visto che il tuo server è bello potente, potresti pensare di utilizzare xen
per dividere i servizi su piu macchine virtuali, avresti veramente un bel fortino poi da espugnare!
pensa che mi arrivano altri 4 server, solo di poco inferiori (xeon serie 5000 e non 5100... quindi niente virtualizzazione in hw e 2Gb al posto di 4)... praticamente ho piu' server che servizi!
Quote:
Originariamente inviato da _YTS_ Guarda i messaggi
ti continuo a leggere, mi piace vedere qualcuno che progetta

oggi mi sono divertito con questo:

http://www.cipherdyne.org/blog/2007/...-matching.html

su un p3 1ghz ho messo su 5000 e passa regole di iptables su cui gira anche snort sulla rete pubblica aziendale, fico!!! devo fare un tuning fino di snort, tuning tcp, tuning kernel, e ottimizzazione finale di iptables, test con netperf,
test su ddos e synflood su tcp e flood su udp e icmp e test sui limiti e shaping e poi bho...
ma forse qui mi converrebbe passare altrove... openbsd e pf in primis.

byez
e' troppo figo fare esperimenti!
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++.
HOWTO: SSH Firewall e DMZ
ɐɹdosoʇʇos oʇuǝs ıɯ
HexDEF6 è offline   Rispondi citando il messaggio o parte di esso