Freesco, NND, CDN, EOS

Witam.

Planujemy do pracy zakupienie firewalla D-link dfl 700. Chodzi o to, że jest to czysty firewall i nie można go podłączyć bezpośrednio do DSL-a, więc musi zostać podłączony przez jakiś router. Obecnie taką rolę pełni Freesco 0.27 i w związku z tym jest pytanie.
Jak go podłączyć do Freesco, aby to D-link przejął zadanie firewalla, a Freesco stało się zwykłym routerem ?

Pozdr.


Ps. Proszę o wszelkie komentarze co do prawidłowości i zasadności mojego rozumowania

Rozumiem, że firma koniecznie musi jakies pieniądze w koszty wpuścić. Nie znam tego urządzenia, ale czy jesteś pewny, że ono jest potrzebne? A może zatem Freesco jest niepotrzebne i zastąpić je jakimś urządzeniem sprzętowym. A jeśli już koniecznie chcecie ten pomysł w życie wprowadzić to zdaje się Freesco będzie jako "bridge".

_________________
Belfer.one.PL
Audio Cafe

Ja wiem czy w koszty .... ?

Fakt faktem, że objawiła się kasa końcem roku i postanowiliśmy zakupić sprzętowego firewalla w celu zwiększenia bezpieczeństwa.

Podobno firewalle sprzętowe cechują się większą odpornością (chociażby na ataki typu floodowanie, death ping itd) . Natomiast co do racjonalności stosowania w dalszym ciągu Freesco uważam (pomimo całej sympatii do tego OS-u ), że zostanie on jednak zastąpiony przez jakiś sprzętowy router (chociażby ze względu na rozmiary). Tymczasowo jednak - zgodnie z Twoją sugestią - trzeba go będzie przystować do pracy jako bridge.

Pozdroofka.

Sprzetowe firewalle charakteryzują się przede wszystkim znacznie mniejszą konfigurowalnością, przynajmniej te mi znane... a Freesco należy do najbezpieczniejszych systemów. Jeśli ktoś ma łącze typu np. SDI, żaden firewall nie obroni go przed floodowaniem. Mało tego mając do dyspozycji szybkie łącze można tego małego "zapingować na śmierć" Ale co tam... nie mój cyrk, nie moje małpy..

_________________
Belfer.one.PL
Audio Cafe

Mogłem się tego spodziewać....

Jako członek PGF będziesz na pewno bronił Freesco (ew. NND) jako jedynie słusznego rozwiązania.
W gruncie rzeczy ciężko uzasadnić mój pogląd dotyczący wyższości firewalla sprzętowego nad programowym - jednak tak uważam. Mniejsza zresztą o to.

Zastanawiałem się również, czy nie zrobić firewalla dwupoziomowego (proszę o korektę w przypadku złego rozumowania).

Freesco -> D-link -> sieć lokalna

Freesco w stanie obecnym, z NAT-em i wszelkimi dotychczas działającymi usługami kieruje swój ruch do D-link'a. Ten z kolei dopiero do sieci lokalnej.
Uważam, że byłoby to o tyle lepsze rozwiązanie od robienia mostu, że wszelkie połączenia do D-linka byłyby nawiązywane i przepuszczane przez firewall Freesco. Nawet przełamanie Freesco nie dałoby dostępu do sieci lokalnej, a wszelkie ataki na D-linka byłyby utrudnione chociażby ze względu na to, że Freesco ograniczone jest dostępnymi paczkami i brakiem kompilatora.

Ps. Maciek - dlaczego napisałeś

Do tej pory myślałem, że właśnie Freesco można tak potraktować, zwłaszcza gdy znajduje się na słabej maszynie, a nie Firewalla sprzętowego, który (wg mojej opinii i tego co podaje producent) jest odporny na wszelkiego rodzaju DoS-y, czy DDoS-y.

Nie, będę bronił zastosowania porządnego nie okrojonego Linuxa, Unixa, *bsd, *nixa...
W zależności w czym admin czuje się najlepiej, lub komu firma chce zapłacić.

A jak myślisz, co tam w środku siedzi? Krasnoludki? Najczęściej jest to embeded linux. Większość firewalli sprzętowych ma jakiś okrojony do minimum system operacyjny (na pewno nie windows), są to często linuksy na stabilnym jądrze 2.2 (bo mniejsze), ładowane z czegoś w stylu kości bios. Całe ich bezpieczeństwo polega na tym, że część konfigurowalna została całkowicie oddzielona od części systemowej. I na dodatek w razie problemów można zrestetować do domyślnych ustawień.
Cacka mające funkcjonalność zbliżoną do Freesco kosztują naprawdę spore pieniądze... a te tanie to jest absolutne minimum... Jeden z moich znajomych próbował to zastosować do rozdzielania netu, już pierwszy user kazolubny odciął mu net (pracowało to jakieś trzy dni, zanim zostałem poproszony o postawienie Freesco).
A co do odporności... kiedyś jako jedna z kilku osób z PGF stałem się obiektem ataku... Jeden z naszych serwerów był na slacku i ten wymagał potem ręcznego restartu (ctrl+alt+del), na zdalne komendy nie chciał reagować. Pozostałe były na Freesco i SDI, odcięło nam net na pół godziny i to wszystko...
Nie ma moim zdaniem łącza odpornego na ataki zmasowane. Wszystko jest kwestią tego iloma i o ile silniejszymi łączami dysponuje atakujący. To tyle ogólnie i w miarę prostym językiem... ale co tam ja mogę wiedzieć - w końcu nawet informatykiem nie jestem

_________________
Belfer.one.PL
Audio Cafe