ADSL szereld magad

[Móczik Gábor]

HWSW Famulus wrote:
> .....hmm, servert viszont nem szivesen tennek ki direktben a netre.

A szervernek pont az a lenyege, hogy a net-en legyen. :-)
Legalabbis most arrol van szo, hogy szolgaltatni akarsz valamit kifele, 
pl. web, ftp.

> Jobb az egy NAT mogott...ugyis minden router tud manapsag
> port forwardingot (virtualservert) ami NAT-olni tud.
> A jobbak meg még DMZ-t (demiitarizalt zona) is eljatszanak.

Ha a nat moge teszed, es teszel egy portra forwardingot, akkor azzal 
kivetted a nat mogul azt a portot. Amit vedeni akarsz, nem NAT moge kell 
tenni, hanem tiltani kell. A NAT nem erre valo.
Meg*szat a jo i*ten azt az oprendszert, ami nem tud egy packet filtert 
legalabb a bejovo interface-re...

Jo a DMZ elkepzeles, ott ahol szukseg van ra. Ha neked van egy szervered 
otthon, szeretnel weboldalt uzemeltetni, semmi mast, akkor az adsl modemed 
interface-en csak a 80-as es/vagy 443-as portot kell beengedned. Ugyanezt 
kell tenend a NAT-olos dobozkan is, raadasul csak +1 hop, meg lehet 
bohockodni vele. Hol is noveli ez a biztonsagot?

DMZ-t akkor eri meg hasznalni (mivel ez legalabb 3 gep), ahol kell mondjuk 
egy biztonsagos LAN (file server, cvs, ...), kell egy kevesbe megbizhato 
szolgaltatasokat nyujto, de tobbe-kevesbe publikumnak kitett szerver park 
(email, www, ftp, dns, ...)
A 3-ik gep a tuzfal, ami a 2 szegmenst osszekoti az internettel. De aligha 
hinnem, hogy ezt a funkciot egy 10-30eFt-os dobozra biznam. Mert itt mar 
tobbet varok. Pl. tudjon IDS-t, protokoll proxy-t, protokoll szintu 
biztonsagi feladatokat, etc... Ha ez a 3-ik gep csak packet filter, akkor 
szuksegtelen, mert a masik ketto is tudja alapbol...

-- 
((( Móczik Gábor  )))--((( hu <- DOT <- progzmaster <- AT <- pm )))
((( Skype: moczik )))--((( Website: http://www.progzmaster.hu   )))