Firewall на win2k3 терминал с реальным IP. БФ.

Rimlyanin · 15.11.2009

Firewall на win2k3 терминал с реальным IP. БФ.

появилась тут задачка:
вобщем суть в том что win2k3 SE или EE в роли терминального сервера. По независящим от меня причинам надо на этот сервант белый IP. Кто бы какой фаирволл поставил и почему?

P.S. Фаирволл будет "лечен", это тоже надо учитывать, но это уже другая тема

diesel · 15.11.2009

outpost firewall (не security suite)

Zahar_McDaun · 15.11.2009

из бесплатный можно Comodo =)

dimik1 · 15.11.2009

эээээ.... Подобная проблема, только с 2к серв. Прошу отписавшихся учесть, что далеко не все фаеры становятся на серверную ось. На 2к3 юзаю встроенный...

Zahar_McDaun · 15.11.2009

да, в натуре, шота я протупил. комодо на сервак скорей всего не станет. юзайте аутпост =)

sankanet · 15.11.2009

ТС используйте правила для IPSEC -а, достаточно стабильная штука. и главное встроенная

RainBoy · 15.11.2009

Я бы поставил между w2k3 и инетом какую нибудь никсовую коробку
Зачем винду загружать файрволлом сторонним
Тем более аутпост, комодо и подобное.

sankanet · 15.11.2009

RainBoy сказав(ла):
Я бы поставил между w2k3 и инетом какую нибудь никсовую коробку
Зачем винду загружать файрволлом сторонним

Встроенного более чем для защиты. А вот зачем ставить лишнее устройство? Задачи фаервола будут минимальны - открыть терминал для определенных подсетей, да прикрыть лишние порты.

RainBoy · 15.11.2009

Оутпост является IDS в принципе.
Я не знаю, что надо ТС для работы.
Ставить на сервера сторонние файрволлы я бы точно не стал.
Можно поиметь немало интересных граблей.

CRASHUS · 15.11.2009

wipfw

0xygen · 15.11.2009

+1 за никсовую коробку. 100грн делов - гемора с фаерами нету

RomeoMe · 15.11.2009

RainBoy говорит дело.

Rimlyanin · 16.11.2009

diesel сказав(ла):
outpost firewall (не security suite)

и

Zahar_McDaun сказав(ла):
из бесплатный можно Comodo =)

Ось серверная

===============================

RainBoy сказав(ла):
Я бы поставил между w2k3 и инетом какую нибудь никсовую коробку
Зачем винду загружать файрволлом сторонним
Тем более аутпост, комодо и подобное.

и

0xygen сказав(ла):
+1 за никсовую коробку. 100грн делов - гемора с фаерами нету

Ну-ну, а как обьяснить это менеджерам ДЦ ?
НЕ во всех ДЦ такое возможно, если ставить свою железяку. А если арендовать - то пипец

===============================

sankanet сказав(ла):
ТС используйте правила для IPSEC -а, достаточно стабильная штука. и главное встроенная

НА терминальном сервере??

RainBoy сказав(ла):
Оутпост является IDS в принципе.
Я не знаю, что надо ТС для работы.
Ставить на сервера сторонние файрволлы я бы точно не стал.
Можно поиметь немало интересных граблей.

это понятно, но как быть по другому??

Фактически мне надо на дедике поднять терминальный сервер, вот и думаю как его закрыть от вторжения как снаружи, так и изнутри

P.S> не в тему: оутпост ещё хорош тем, что в режиме обучения показывает кто новенький лезет за инетом

zavyalov · 16.11.2009

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

Rimlyanin · 16.11.2009

zavyalov сказав(ла):
Тільки зареєстровані користувачі бачать весь контент у цьому розділі

ну за него как бы денег хотят, но как бы в наших реалиях...

Просто я как бы маловато о нем слышал

RainBoy · 16.11.2009

Можно извратиться и поставить никсы в виртуалке в win сервере -)
Но все равно стек программно остается виндовый -)

Из всех фаеров, что я знаю, наименее геморройный по наблюдениям у Kerio WinRoute.
А если хотите просто заблочить лишние порты на вход - то виндового действительно хватит.

RomeoMe · 16.11.2009

Rimlyanin сказав(ла):
P.S> не в тему: оутпост ещё хорош тем, что в режиме обучения показывает кто новенький лезет за инетом

у комодо та же фича

Rimlyanin · 16.11.2009

RainBoy сказав(ла):
Можно извратиться и поставить никсы в виртуалке в win сервере -)
Но все равно стек программно остается виндовый -)

Т.е. получать белый IP на виртуалку никсовую и дальше NAT для винты ??
:eek:

RainBoy сказав(ла):
Из всех фаеров, что я знаю, наименее геморройный по наблюдениям у Kerio WinRoute.
А если хотите просто заблочить лишние порты на вход - то виндового действительно хватит.

та я вот тоже склоняюсь к винроуту, надо будет взять тачку, да попробовать старенький 4х на win2k3. По крайней мере на win2k и winNT 5.1 оно у меня работало отлично

А то там у более новых версий геморойная таблетка

Heretic · 16.11.2009

стоит керио 6.4.2 и все ок

RainBoy · 16.11.2009

Rimlyanin сказав(ла):
Т.е. получать белый IP на виртуалку никсовую и дальше NAT для винты ??

та я вот тоже склоняюсь к винроуту, надо будет взять тачку, да попробовать старенький 4х на win2k3. По крайней мере на win2k и winNT 5.1 оно у меня работало отлично
А то там у более новых версий геморойная таблетка

Получать ip на виртуалку и с нее на сервер, ага =)
Но это скорее как шутка вариант -)
4 версия почти гарантированно уведет ваш сервант в синий экран (если вообще встанет)
Есть полно леченных "шестерок", вполне себе работающих.