Kam umistit servery (DNS, mail, HTTP, proxy...)?

Petr Rehor petr.rehor at i.cz
Fri Feb 21 08:40:27 CET 2003


> Co je to DMZ? Samostatna vetev site za firewallem? Na 
> samostatne vetvi za firewallem, ktera nema pristup do vnitrni
> site, uz ted bezi http server.

DMZ je demilitarizovana zona a muze byt realizovana treba tak
jak to popisujete nebo jako segment mezi externim a internim
firewallem.

> Bylo by tedy rozumne dat DNS/MAIL/FTP na stejnou vetev nebo

Pokud je ten DNS/MAIL/FTP verejne pristupny tak jiste ano.

> dokonce na stejny stroj?

To uz je otazka stupne paranoi a stavu vaseho konta. Lze pouzit
oba pristupy - vsechno na jednom nebo na kazdou sluzbu samostatny
server, nebo to zkombinovat. Taky si muzete pomoct a vytvorit
"virtualni" servery na jedne masine pomoci jail a chroot a v nich
provozovat jednotlive sluzby.

> Jak potom resit na takove siti pripadne upgrady pomoci cvsup? 
> Mit na kazdem stroji extra zrdojaky? Nebo radej nainstalovat
> jednu verzi a tu pak provozovat nejakou delsi dobu? Bezpecnost
> dat na fileserveru je dost podstatna...

Na stroje v DMZ bych zdrojaky snad vubec nedaval. Upgrady muzete
delat tak, ze si novou verzi FreeBSD a balicku prelozite na
nejakem stroji v interni siti, vypalite na CD a z nej potom
upgradujete stroje v DMZ.

Pro stroje v DMZ pouzivam RELEASE branch tak dlouho dokud je
podporovan Security Officerem (fuj, ale jak to rict cesky
lip ?:-), ve kterem se opravuji pouze objevene chyby, takze
tech zmen nebyva mnoho.

Petr Rehor
ICZ a.s.
Pobocka Ceske Budejovice
J. S. Baara 40, 370 01 Ceske Budejovice, CZ
Tel: +420 387 312 808
Fax: +420 387 311 480
mailto:petr.rehor at i.cz
http://www.i.cz
 




More information about the Users-l mailing list