pf bakom sin NAT-router?

2006-02-28 18:05

Medlem

Plats: Stockholm
Registrerad: Jul 2004

●

pf bakom sin NAT-router?

Många verkar tycka att "vafaaan, kör du inget pf på din server, är du galen eller?".
Nej säger jag, jag sitter ju bakom min router och bara port 22 och 80 är öppen.

Men nejdå, det är tydligen farligt att inte ha nån paketfiltrering igång iallafall.

Bryr mig inte så mycket nu för allt funkar bra, men är lite nyfiken på vad fan det skulle kunna va bra för.
Jag vet ju att inget annat än port 22/80 kommer in utifrån.
Kan ju inte gärna va blocka portar utåt man ska ha den till, för där vet man ju aldrig säkert vad som behövs och inte (dynamiska klientanrop utåt). Annat på en windowsburk där man enkelt kan "allowa" applikationer utan att behöva specificera portar (vilka ju som sagt kan variera utåt såklart).

Eller är det bara nån prestigegrej, att kör man en UNIX-server så ska man fanemig ha brandväggsregler på den också

Visa signatur

CCNA sedan juni 2006

Rapportera Redigera

Citera flera Citera

2006-02-28 18:33

Permalänk

fishtail

Medlem

Plats: /home/lars
Registrerad: Mar 2004

●

Jag körde länge server bakom en hem-netgear-router utan paketfiltrering på servern och det fungerade alldeles utmärkt.

Nu är servern min router så nu kör jag paketfiltrering.

Med mina nuvarande kunskaper skulle jag göra så här i din plats: server blir router och din router ställer du in utan DHCP-egenskaper bakom servern. Eller din router kanske redan är ett hemmabygge?

Visa signatur

www.gejarnet.com

Rapportera Redigera

Citera flera Citera

2006-02-28 18:38

Permalänk

GunnarD

Medlem

Plats: Mölndal
Registrerad: Jul 2005

●

Din "bredbandsrouter" skyddar dig från attacker utifrån, litar du på dina maskiner innanför "bredbandsroutern" så behöver du ingen PF.

Visa signatur

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Rapportera Redigera

Citera flera Citera

2006-02-28 18:56

Permalänk

Seb74

Medlem

Plats: Stockholm
Registrerad: Jul 2004

●

Ok, tack, då vet jag lite mer

Nej min router är en D-Link. Ser ingen anledning att exponera min server direkt ut mot nätet bara för att låta den agera router också. Har ju redan en liten fin router/switch

Visa signatur

CCNA sedan juni 2006

Rapportera Redigera

Citera flera Citera

2006-02-28 20:06

Permalänk

Aphex

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Re: pf bakom sin NAT-router?

Citat:

Ursprungligen inskrivet av Seb74
Jag vet ju att inget annat än port 22/80 kommer in utifrån.
Kan ju inte gärna va blocka portar utåt man ska ha den till, för där vet man ju aldrig säkert vad som behövs och inte (dynamiska klientanrop utåt). Annat på en windowsburk där man enkelt kan "allowa" applikationer utan att behöva specificera portar (vilka ju som sagt kan variera utåt såklart).

Du kan filtrera paket baserat på vilken användare/grupp som skall ta emot/skicka det. Om din webserver körs under användaren www kan du alltså bestämma att han bara får ta emot inkommande anslutningar på port 80, till exempel.
PF har dessutom lite andra funktioner som kan vara bra för att förhindra eller begränsa vissa typer av attacker som din router inte har.

Visa signatur

I have free will but I choose to oscillate

Rapportera Redigera

Citera flera Citera

2006-02-28 20:32

Permalänk

Seb74

Medlem