Новый участник
Сообщения: 45
Благодарности: 0
|
Профиль
|
Отправить PM
| Цитировать
Какие порты закрывать, а какие нет - это решаешь сам, проведя аудит приложений и ресурсов, которыми пользуются в сети.
Для небольшой типичной офисной сетки надо оставить 80 исходящий) *- чтобы браузеры могли в инет выползать, 25 - SMTP (входящий чтобы почтовый сервер мог принимать почту и исходящий, чтобы отправлять) дальше смотри уже по приложениям, кому что надо, а остальные порты закрывай нафиг (у меня даже ICPM запрещен)
Файрвол сильно напрягает машину, на которой установлен, на остальные влияет однозначно - если разрешен порт - выпускает, если нет - "не доступен ресурс"
На серваке стоит поставить 2 сетевые карты одну внешнюю для доступа в нет и вторую для внутренней сети (вместе внешней сетевой карты можешь просто использовать интерфей модема, если он у тебя к компу прилеплен, у мня в одном офисе выделенка по типу LAN, а в другом модем в сетевую карту воткнут)
На внутреннюю сетвую вешаешь частный диапазон (типа 192.168.0.х или 10.х.х.х) Клиентским машинам совершенно нет смысла раздавать реальные IP, выгоды от них никакой точно.
Прокси и файрвол - разные вещи. Прокси по большому счету только помойка кэшированных страниц, призвана ускорить их загрузку, потому как если страница уже есть в кэше, она грузится с твоего сервера, а не с забугорного скажем.
Если хочешь остаться пока на 98-й винде в качестве сервера, оставь Винроутер и поставь обычный персональный файрвол (подойдет даже OutPost Free)
Вообще рекомендую поставить Win 2000 Server (упаси бог ставить Advanced или тем более Datacenter), но тут уже варианты пошли - рабочая группа или домен AD.
Для клиентов Win 9х домен или воркгруп - практически по барабану, так что решай сам :о)))
В качестве прокси рекомендую MS ISA Server 2000 - классная штука! Абсолютный контроль над доступом в инет, разграничение прав по пользователям, можешь назначить кому какими приложениями в какое время можно пользоваться! Если поднимаешь AD - ставь аррэй интерпрайз с интеграцией политик в AD, если воркгруп - как стандалон, особой разницы нет в принципе, я просто привык всё цетрализованно держать.
Если интересно, можем пообщаться мылом или аськой
[s]Исправлено: FWC, 12:18 19-02-2003[/s]
[s]Исправлено: FWC, 12:24 19-02-2003[/s]
|
