voyager
kühler versilberer :)
|
da ich nen "alten" pc rumstehen hab , möchte ich aus dem was sinnvolles machen:
Firewall / Router
1 Wan Port
3 Ports für´s Lan , je Port mit eigenen Zugangsbeschränkungen (DMZ - Port,...)
WLAN AP nur mit Karte (wenn möglich)
Mailserver
Zugang zum Mailserver nur per VPN auf Webclient von extern , intern per IMAP
Mailserver soll einige fremde Accounts abfragen und einsortieren
VPN soll auf dem Router laufen
Hardware: AMD XP-M mit genug Ram (1GB+)
Aktive Intel Multiport karten
WLAN Karte ?
|
Crash Override
BOfH
|
Mailserver würde ich auf eine andere Maschiene packen, einen echten billigen AP fürs WLAN, kleinere hardware für Router/Firewall und IPCop drauf (selbst 200MHz und 128MB Ram sind da schon sehr hoch dimensioniert).
|
NyoMic
xepera-xeper-xeperu
|
würd die firewall auch eher auf einem extra rechner laufen lassen. Den WLAN-AP würd ich an deiner Stelle mit einem Radius Server kombinieren, da ja bekanntlich WEP nicht gerade das gelbe vom Ei ist.
|
Crash Override
BOfH
|
Dafür macht IPCop ipsec-VPN von allen unsicheren Netzen (WLAN und WAN).
|
BigJuri
Reservoir Dog
|
@Crash Override: Das macht nicht nur IPCop, das kannst du auch mit jeder anderen Linux Distri machen.
@topic: Ich würde die Firewall auf einem eigenen Rechner laufen lassen, da sich die Sicherheit durch die ganzen anderen laufenden Dienste nicht grade erhöht.
|
Crash Override
BOfH
|
@BigJuri: Aber bei jeder anderen Distribution braucht man länger als 30 Min um das system komplett einzurichten. Nur der Mailserver hat nichts auf dem Router verloren, VPN sollte aber der Router machen.
|
BigJuri
Reservoir Dog
|
@BigJuri: Aber bei jeder anderen Distribution braucht man länger als 30 Min um das system komplett einzurichten. Und wo ist das Problem? Ich investiere gerne ein oder zwei Stunden in die Konfiguration, wenn ich dafür weder mit Kompromissen leben muss noch auf irgendetwas verzichten muss.
|
Wykat
Big d00d
|
Vielleicht hilft dir die C't server c't-Debian-Server 1.1 Der von der Heft-CD installierbare Server auf Debian-Basis konfiguriert viele Dienste automatisch, die anderenfalls mühsam von Hand eingerichtet werden müssten. Er regelt Druck- und Dateidienste, speichert Ihre E-Mails zentral ab und kümmert sich um deren Versand und Empfang. Ein Bonbon ist die integrierte Router-Firewall IPCop: Sie tut ihren Dienst in einer virtuellen Maschine und ersetzt die übliche Server-Firewall. Da laufen mail server und ipcop (firewall) in verschiedene instances unaghanging von einander. Wahre vielleicht eine alternatieve, wahrscheinlich nicht DER sicherste, aber immerhin mail server und ipcop auf einem rechner. Selber verwende ich ein ganz kleiner firewall separaat weil ich die jetzt schon habe  Wykat
|
COLOSSUS
AdministratorGNUltra
|
Die trennung Firewall | Services macht fuer einen Privaten kaum Sinn. Schmeisz alles auf einen Rechner, und gut is'.
|
Woifi
Addicted
|
Die trennung Firewall | Services macht fuer einen Privaten kaum Sinn. Schmeisz alles auf einen Rechner, und gut is'. ack, die c't idee mit ipcop unter UML find ich gut
|
voyager
kühler versilberer :)
|
Vielleicht hilft dir die C't server
c't-Debian-Server 1.1
Der von der Heft-CD installierbare Server auf Debian-Basis konfiguriert viele Dienste automatisch, die anderenfalls mühsam von Hand eingerichtet werden müssten. Er regelt Druck- und Dateidienste, speichert Ihre E-Mails zentral ab und kümmert sich um deren Versand und Empfang. Ein Bonbon ist die integrierte Router-Firewall IPCop: Sie tut ihren Dienst in einer virtuellen Maschine und ersetzt die übliche Server-Firewall.
Da laufen mail server und ipcop (firewall) in verschiedene instances unaghanging von einander. Wahre vielleicht eine alternatieve, wahrscheinlich nicht DER sicherste, aber immerhin mail server und ipcop auf einem rechner.
Selber verwende ich ein ganz kleiner firewall separaat weil ich die jetzt schon habe
Wykat in welcher c´t war denn die drin ?
|
Crash Override
BOfH
|
@COLOSSUS: Woher nimmst Du die Weisheit? Hast du etwa keine sensiblen Daten in deinem Netzwerk? Wurde dein System schon mal gehackt?
@Topic: der c't server macht nur mehr Probleme als er beseitigt. Die UML ist noch nicht ausgereift.
|
Wykat
Big d00d
|
in welcher c´t war denn die drin ? Ich weiss nicht in welcher C't die 1.0 war, aber die 1.1 ist in die sonderausgabe von jetzt uber netzwerken drin. Kann online bei heise.de bestellt werden da offenbar in die meiste geschafte ausverkauft (wird nachgedruckt) Wykat
|
COLOSSUS
AdministratorGNUltra
|
@Crash Override: Was hat das damit zu tun, ob ich Services und Firewall extra, oder beides auf einem Geraet laufen habe? Dennoch will ich mitspielen... Wenn ich mir die mittlere Anzahl der bekannten Remote Exploits der von mir auf der WAN-Seite horchenden Dienste euber die letzten Jahre ansehe, dazu noch die Anzahl der technisch dazu befaehigten Menschen, die diese ausnutzen koennten, in Betracht ziehe, und mir dann noch die Wahrscheinlichkeit durch den Kopf gehen lasse, mit der sich ein solcher jemand zufaellig an meinem kleinen Reich zu Hause, anstatt an einer der Millionen ungleich leichter zu nehmenden ungepatchten Wurmdows-Boxen vergreift, kann ich sagen: Meine Daten sind nicht so sensibel, dass ich dieses minimale Restrisiko nicht zugunsten der Kosten- und Stromersparnis durch Wegfallen eines Geraets einzugehen bereit bin. Weiters waere es ein Novum in diesem (wie auch in vielen anderen) Forum (Foren), wenn man endlich mal mit Bullshit wie "ist noch nicht ausgereift", "suckt halt", "ist crap" und dergleichen, sprich empirisch kaum belegbaren Behauptungen ohne sachlichen Rueckhalt in irgendeiner Form, endigen koennte, und tatsaechlich qualifizierte Statements ueber die Qualitaet verschiedener Produkte, wie auch dem c't Debian Server, abgeben koennte, die auch etwas technischen Hintergrund als Kausalitaet fuer den verbalen Verriss mitliefern. Den c't Debian Server kann man auch von der heise.de-internetpraesenz beziehen... -> http://www.heise.de/ct/ftp/projekte/srv/
|
Crash Override
BOfH
|
Das "ist noch nicht ausgereift" bezieht sich auf die Probleme die nur in der UML auftreten. Siehe http://www.ipcop-forum.de und suche nach c't server. Dort wirst du sehen das dies nicht nur so dahingestellt ist sondern sich real belegen lässt. Und du glaubst garnich wieviel Skriptkiddies sich die Exploits zu nutze machen. Hast du schon mal was von Whoppix gehört? Damit werden die Exploits sogar per skript durchprobiert um reinzukommen, und für die anfänger gibt es Videotutorials.
|
Anmeldung