Re: consigli per un router

[Lucio <lucius@lucius.it>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alle 12:20, domenica 14 settembre 2003,immerso nell'esegesi delle monadi di 
Leibniz, fui distratto da dade che proclamò:
>> Sarà lo studio, il sonno, ma
> > proprio non capisco cosa ti interessa...
>
> Ad esempio come mi devo comportare per le partizioni, il disco è da 800
> Mb, quello che mi preoccupa e la /var, mi sa che in poco tempo si
> riempe. E poi, avrebbe senso se nella stessa macchina installasi un
> server dhcp, un mta come exim, un pop e utilizzassi fetchmail per
> scaricare periodicamente la posta degli utenti della lan?
> La macchina deve essere sicura, veloce e perennemente a prova di utonto.
> ciao
Ok, ho capito. La risposta che chiedi dipende molto dalle tue esigenze (numero 
di utenti, utilizzo della lan, ip statico/dinamico). Sopra tutto, la risposta 
dipende da scelte molto molto personali (non esistono regole standard, ed 
ognuno la vede in modo molto diverso). Quindi ti posso dire quello che farei 
io (ma che resta contestabile).
Punto 1. 800 Mb in linea di massima possono bastare. Poi dipende da quanto 
loggi, da quanti servizi hai su, da come gestisci i logs (devi pensare ad un 
sistema di backup, v. logrotate). Per il resto è tutto fattibile. Vedi però 
se ti conviene (quanti utenti hai?, ti serve aprire all'esterno un pop3 e un 
smtp o li useresti solo dall'interno? vuoi filtrare la posta (antivirus e 
spam) o non è necessario? Se hai tanti utenti, scaricare tutta la posta 
potrebbe non convenire...). Insomma, dipende dalla realtà e dalle necessità 
della situazione. Anche per il dhcp, dipende. Se hai 10 utenti all'interno, 
imho non vale la pena, anche perchè poi diventa più complesso gestire 
eventuali regole di firewalling per una singola macchina... Se ne hai di più, 
vedi tu.
Tieni presente che in linea di massima, se la priorità è la sicurezza, è 
vivamente sconsigliato aprire qualunque servizio sul firewall (potenziali 
vulnerabilità). Per questo di solito i server risiedono su una macchina a 
parte collegata direttamente al firewall (in dmz), separata dalla rete 
esterna e da quella interna. Naturalmente dipende anche qui dal grado e dalla 
sicurezza richiesta (a casa mia aprirei servizi anche sul firewall, da un 
cliente assolutamente no). Una buona soluzione potrebbe imho nel tuo caso 
essere quella di un server interno (nella lan) con pop e smtp. Eventualmente 
sul firewall un proxy smtp (v. messagewall) e nulla di più. Naturalmente, se 
serve, ssh (consiglio: niente modulo pam, solo rsasig). Vivamente consigliato 
snort.
O più semplicemente non apri proprio niente sul firewall ( la cosa migliore ) 
e lasci tutto come stava prima, con la differenza che tutta la lan accede 
all'esterno.
Saluti
- -- 
Lucius in  fabula
- --www.lucius.it--
Open PGPKey: www.lucius.it/lucius.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iQEVAwUBP2RKIhPJoalLltY2AQKA0Qf/fAtlK41kBNPNnayu29FgINbViDH8qRjU
FgvL8ELxrqNIccypitjRfOKO4U1Y1MHHcmqNlbo/WvG3nhYT8GjWYkvFQ+xlTLQI
HxYBXeBrXzbR//2TEjeichLe89WL/HWK+ROpRMrD3mV+q9aTkGbjz9XFpg2p/mjR
PXU7PRjffSo2YXCj89zoE5PqfEC+nXnW2QfAb8ZkzyN6HBE2OUbk8vTQMqJkZOeM
ZnIf68iVfB76etEzr6fOHRbyCbGGOOuvifdN1sYPp5xnFZDN6WjMjOrcIfNh+RXR
bn9o34Li6JRgQRds12CdcJ20syw0DCCIaK6K9ofN+N5w5e7MyKGnsg==
=X3Bb
-----END PGP SIGNATURE-----