2009/11/27 Pol Hallen <debitv...@fuckaround.org>: > I miei dubbi sono: chiudo tutto con iptables e apro solo quello che deve > passare? ma dovrei mettermi a guardare con funziona il win update, l'update > di mac osx, gli update degli antivirus, dei firewall dei client e gli altri > servizi? che tipo di problemi mi ritroverei?
Gestisco un firewall con una situazione molto simile. La soluzione migliore è senz'altro chiudere tutto e aprire con iptables solo i servizi necessari. Il metodo senz'altro più sicuro in assoluto è chiudere tutto e permettere ai client di accedere ad internet solo passando per un server proxy (squid). Tutti i servizi che hai elencato usano HTTP porta 80, quindi impostando a livello di sistema il proxy (su Windows è sufficiente impostarlo in IE) tutto passerebbe senza problemi. L'unico svantaggio di questa soluzione è dover impostare a manina il proxy su ogni computer che volesse collegarsi, ma usando WPAD semplifichi di molto questa operazione. Altrimenti ti conviene lasciare aperte le porte TCP 80 (HTTP), 443 (HTTPS), 21 (FTP) e, semmai serva, 22 (SSH). Se non hai un server DNS interno attiva anche la 53 UDP. Queste porte aperte dovrebbero permettere tutto quello che hai scritto (a meno che non abbiano un metodo particolarmente "esotico" per andare in internet). -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org