[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: OpenBSD come gw
Mittente: Black Berry
Data: 3 Apr 2002 22:06:44 -0000
At 00.01 02/04/2002 +0200, you wrote:
>Ciao !!!
>
>Allora, ho intenzione di spostare parecchie ws della mia rete su openbsd... :)
>In particolare, ho paura per il gw. Monto obsd 2.9.
>
>Allora, supponiamo che riesca a far funzionare adsl ... :(
>Dovrei fare un port forward delle porte di ssh, smtp, news, imap, afs.
>Qualcuno sa qualcosa piu' di me?
>Nel senso:
>basta che io faccia nat per tutti questi servizi verso un=altro pc
>della rete interna? (Per smtp e www lo so). Ma ssh come si comporta?
>basta che io forwardi la porta 22? Afs? Imap? News (intendo innfeed).

Allora mi verrebbe da chiederti se hai adsl con un unico ip fisso o con un 
range di ip.
Se con ip fisso e' necessario fare un doppio nat.
Il router natta il gateway e il gateway natta tutta la lan.

Ovviamente se trovi una scheda adsl che funzioni per Obsd, ti levi dalle 
scatole il router
e fai un semplice nat, port filtering e forwarding in lan delle porte che 
ti interessano ai pc che ti
interessano.
Cmq natterai tutta la lan, visto che immagino debbano 'navigare'  tutti.

Per ssh ci sono due soluzioni, o lasci l'ssh aperto sul gateway epoi da li 
ti connetti ai
server interni, o (sempre sul gw) giri delle porte diverse dalla 22 sulle 
porte 22 interne dei server
sui quali ti interessa connetterti.

Personalmente preferisco la prima ipotesi, meno porte aperte sull' internet 
ci sono e meno
curiosi attiri. Considera poi che, in caso di upgrade di software, avrai 
solo una piattaforma critica
da aggiornare repentinamente e non tutti i server in lan. Poi dipende dalle 
comodita', se sei solo
tu a loggarti o i tuoi utenti sono come tutti gli utenti medi italiani, 
ovvero rompono e non sanno cosa dicono :)

Imap giri la porta 143 sul gw verso la porta 443 del tuo mailserver in lan

Innfeed, se lo usi solo come client (ovvero mirrori i newsgroup) e non ti 
interessa che un utente esterno
consulti usenet dai tuoi server, non e' un problema.

Afs?
afs3-fileserver         7000/udp        # AFS fileserver
afs3-callback           7001/udp        # AFS callback server
afs3-prserver           7002/udp        # AFS protection server
afs3-vlserver           7003/udp        # AFS volumelocation server
afs3-kaserver           7004/udp        # AFS kerberos authentication server
afs3-volser             7005/udp        # AFS volume server
afs3-errors             7006/udp        # AFS error server ?
afs3-bos                7007/udp        # AFS basic over-see server ?
afs3-update             7008/udp        # AFS server to server update
afs3-rmtsys             7009/udp        # AFS remote cache manager service

devi proprio aprire afs ad un server su internet?
Forse e' il caso di utilizzare un bel tunnel ipsec :)

ho sonno vado a nanna
bsd to all

bb


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005