glug: LAN casereccia...

s.sartini s.sartini@linux.it
Mer 11 Feb 2004 15:04:19 CET 

Fabio Ceinar wrote:

[SNIP]

> ------> secondo me infatti 2 pc sono inutili. Io farei tutto con il p200.

Concordo. Vedo poco furbo mettere 2 PC a fare il lavoro che puo' fare 
uno solo, se nn per scopi puramente didattici. Cerco di argomentarti la 
mia visione:

- Un PC è + semplice da mantenere di due PC, consuma meno, fa meno 
rumore, e puoi collassare parte delle risorse di uno dei due nell'altro 
(anche fosse solo l' HDD);

- Se non è il tuo pane quotidiano, e partendo dal presupposto che in 
casa avrai un solo IP pubblico, sul 486 (firewall) dovresti impazzire a 
configurare iptables per far andare l'FTP in NAT (perchè in realtà la 
DMZ dovrebbe avere IP pubblici, ma tu nn li hai :\ ), il che implica il 
mod_copnntrack_ftp e altre menate varie nel kernel;

- Se tu avessi un vero Firewall e un PC, allora avrebbe senso, ma per 
mettere 2 macchine uguali (Linux), egualmente vulnerabili (nel senso che 
se esce un bug è facile che funzioni su entraqmbi, e quindi una volta 
bucato il firewall t bucano ANCHE l'FTP), il gioco nn vale la candela;

- la DMZ solitamente viene protetta da un firewall, non da un 
router/NAT, ed esiste un IP per ogni servizio, mentre il firewall è 
sostanzialmente trasparente (non fa da gateway). La tua situazione è 
differente, ed inoltre hai un solo servizio (FTP) da fornire;

Ci sarebbero altre considerazioni, ma sostanzialmente con la stessa 
filosofia.

Se vuoi un sistema semplice e pulito io metterei Slackware, senza nessun 
servizio, e mi scaricherei e compilerei PureFTPd (derivazione *BSD) che 
permette di virtualizzare gli utenti FTP, ed è molto sicuro.

A quel punto, sul gateway, meno cose ci metti meglio è, quindi direi:

- SSH su porta NON standard (non la 22);
- FTP con PureFTPd
(- se vuoi farti l'SMTP sul gateway metti Postfix ricompilato)

Basta =)
Tutto quello che è inutile è dannoso...


Ovviamente ultimo kernel rikompilato ed ottimizzato per la macchina, e 
soprattutto niente supporto ai moduli, tutto quel che serve mettilo 
linkato statico nel kernel.

Ciao,
Ste

Maggiori informazioni sulla lista glug