Jens Benecke schrieb: > Unser Firewall läuft momentan mit iptables inkl. transparentem Proxy
Huahua - das böse Wort: transparenter Proxy. Ich will gar nicht auf den technischen Aspekt raus, das wäre für mich schon Gegenargument genug. Dazu findest Du sicherlich ausreichend Pro/Contra im Netz. Für mich ist es einfach eine Stilfrage. Ich finde es unangemessen die Nutzer zu gängeln oder gar im Unklaren zu lassen. Wenn die Betriebs- vorgaben einen Proxy erfordern, dann nutze ich auch die Funktion des Redirects, allerdings nur um die Nutzer auf einen extra Intranet vhost zu leiten, der als ErrorDocument die index.html ausliefert, die erklärt, warum man einen Proxy benutzen muss, wie man dies einstellt, usw. Guter DAU Mechanismus: die Leute wollen einfach in's Web und bekommen erst mal die Betriebsbedingungen und Anleitungen auf den Schirm. > Unser momentaner Gateway (P-Pro 200 - der Vorgänger war ein 486DX-33 > :) hat IIRC momentan drei Netzwerkkarten. Er filtert mit iptables und > macht Accounting (via net-acct und ein paar Perl-Skripten und einer Hehe, ich kenne Leute, die meinen ein Gateway sollte möglichst schwachbrüstig sein, um potentiellen Hackern kein zu leistungsfähiges System zu bieten... Ich habe da leider keine greifbaren Werte, aber jetzt noch ein paar witzige Ideen, wie den Nutzern ein Webinterface an die Hand geben, mit dem Sie Firewall-Regeln für ihre feste IP am Gateway definieren können. Und fleissig conntrack verwenden, mtrg oder ähnliche CPU-Killer und es wird sicher eng mit einem P200. Die Methode eine alte Kiste für's Gate zu verwenden ist sehr verbreitet. Ich unterstütze das, wenn der Gedanke dahinter steht, dass ein bereits benutztes System, dass so schon einige Monate sauber lief mit einem geringeren Ausfallrisiko behaftet ist, wie eine neues frisch aus dem Karton. Ansonsten versuche ich das gleiche zu verwenden, wie für Web- oder andere Dienste auch. Vereinfacht die Austauschbarkeit und heutzutage kann in einigen Szenarios auch ein Gateway eine anständige CPU-Power benötigen. > über SSH getunnelten MySQL-Verbindung zum Hauptserver). Momentan geht > da pro Monat ca 200-300GB Traffic drüber. Ordentlicher Wert. Bei einer 2Mbit im Grunde schon Vollsättigung, wenn sich das in den üblichen Gausschen Schwankungen über den Tag verteilt. Hansenet freut sich sicher schon ;-) > Server und das Gateway. An der anderen Seite des Gateways hängt eine > Cisco (2500?), und daran hängt der SDSL-Splitter zur TUHH. Wenn die Cisco eine eigene IP hat und sich von einem Client, der eine IP im gleichen Netz hat, nicht direkt (sondern nur über das Gate) ansprechen lässt, sollte alles im grünen Bereich sein. Na ja, dann könnt Ihr ja Eurer RZ verblüffen, dass man mittlerweile für den Router einer 2Mbit keine -zig tausend Taler ausgeben muss, sondern meistens ein kleines harmloses Kästchen kostenlos gestellt bekommt. Sieht man trotzdem noch häufig, teure Ciscos als reines Leitungsabschlussgerät mit einem belanglosen statischen Routing - Hauptsache Markenlabel. > Ich will den Leuten, die meinen es zu brauchen, eine Möglichkeit > geben, ihren Traffic-Wahn auszuleben - und die, die es nicht > interessiert, weil sie sowieso nur 10MB im Monat für drei EMails und > etwas rumgesurfe brauchen, nicht weiter stören. Absolut eine gute Idee, primär mal nur private IPs per DHCP zu verteilen. Da können die User nicht viel falsch machen. Dabei wird am Gate MASQUERADE in Richtung Hansenet und für bestimmte Dienste oder Ziel-IP im Uninetz SNAT über die Uni-Linie gemacht. Nutzer, die sich besser auskennen und die Vorteile einer festen IP haben möchten, könnten sich diese dann gezielt holen. Sei's manuell oder über ein selbstgebasteltes Webinterface. -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)