Server a firewall

[Calis]

Mam doma server (linux) a za nim v mistni siti 2 pocitace (windows), kterym sdili pripojeni na internet (NAT nebo jak se tomu rika,neni to proxy)...
V soucasne chvili mam firewall nainstalovany na serveru,takze jsou tim chraneny (doufam) i pocitace za nim...
Myslite si, ze je stejne bezpecne, kdybych ze serveru fw oddelal a nainstaloval je na ty 2 pocitace? Chtel bych to udelat, protoze bych chtel rozdilne nastaveni fw pro tyto 2 pocitace, nebo pripadne kdybych chtel na jednom na chvili fw vypnout, tak zaroven bych tim druhej neohrozil, byl by porad chranenej...
Jen nevim, kdyz to takhle udelam, a postavim takhle ten server pred fw, je to pro nej nebezpecny? Muze napriklad nakej vir,trojan,..., kterej puvodne miril k pocitaci na mistni siti, se "zabydlet" i na serveru, i kdyz ten ho jakokdyby jen predava dal a nemel by ty data vubec zpracovavat?
A kdyztak,myslite si ze je to velky riziko (jeste navic kdyz mam na serveru jinej operacni system nez na ostatnich pc)?
Predem dik za odpovedi...

[Fox!MURDER]

mno ocividne tomu moc nerozumis tak v tom nehrab dokud to funguje :P

jinak ano udelat by to slo i neslo ... zalezi na tom co a jak konkretne chces provozovat a proc to chces predelavat ...

[Calis]

Neboj na hrabani v tom mam lidi
Me jen zajimalo,jestli lze udelat abych mel server chranenej a pritom pc za nim nechraneny,ktery by si fw spravovali samy u sebe?aby se me na server nikdo nedostal a ja presto nemusel povolovat na serverovym fw vzdycky port kterej potrebuju pouzit na pc v mistni siti za nim?
Nebo jestli je riziko na serveru fw vypnout a nechat ho jen na pc v siti?

[Hardman]

No, podle popisu by to spis chtelo HW router s firewallem a dat ten prislusnej kompl do DMZ...

[Vodicka]

No, pokud odtranis FW ze serveru, tak bezpecne to urcite nebude, i kdyz tam mas linux. Davat a konfigurovat jakesi personal FW na jednotliva PC je zbytecny vopruz (kdyz uz mas to lepsi reseni).
Nevim, co mas za firewall, ale u vetsiny techto produktu lze nastavit takova pravidla, ze na konkretni pocitac budes "propoustet" vse, tj. bude to totez, jako by byl nechraneny (porad se s nekym, kdo tvuj FW zna)

[kamil]

Tak tak, přes různá pravidla a mapování portů může být počítač za firewallem doslova naprosto nechráněn, server na kterém běží zůstane pod plnou ochranou.

[Calis]

Dobre tak jeste jedna otazka, lze udelat abych mohl na obou pocitacich za serverem pouzivat stejne porty?
Lze namapovat stejny port dvema pocitacum zaroven?

[KUBA]

Dobre tak jeste jedna otazka, lze udelat abych mohl na obou pocitacich za serverem pouzivat stejne porty?
Lze namapovat stejny port dvema pocitacum zaroven?

To asi těžko, možná když by bylo spojení už jednou otevřený, ale jinak ne. Router nebude vědět na kterej počítač datagramy směrovat.

[Fox!MURDER]

mno pak se tomu rika tusim content based switching a prepina se to na zaklade toho co v tom paketu je (pouziva se to u veci jako treba google(pouziva par set pocitacu jako webservery s jednim domenovym jmenem a par malo ipckama) a ty technologie jsou nechutne drahy)

[Vodicka]

Dobre tak jeste jedna otazka, lze udelat abych mohl na obou pocitacich za serverem pouzivat stejne porty?
Lze namapovat stejny port dvema pocitacum zaroven?

NApr. pres static NAT (budes potrebovat vic verejnych IP nez jednu)

[Calis]

IP mam jen jednu,takze asi ne
Ale stejne dik...