Date: Tue, 6 May 2003 11:05:30 +0200 From: Flemming Laugaard <none@flemming.laugaard--uni-c.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Firewall / proxy med authentication fra webbrowsers
Hej Niels
Først: Vil du ikke være sød at formattere dine emails til max 80 karakterer
i bredden? Det er møj irriterende at se på de LANGE linier ;)
Hvis jeg har forstået dit spørgsmål rigtigt, vil du opsætte en firewall
mellem dit lokalnet, DMZ og Internet. Du har behov for at beskytte nogle
web sider på DMZ. Lokalnettet skal have fri adgang til Internet.
Rigtigt eller forkert forstået?
Hvis det er rigtigt, foreslår jeg følgende:
Du installerer en FreeBSD og opsætter IPFilter.
Du kan opsætte en reverse proxy der giver adgang til DMZ servene. F.eks kan du
bruge squid ( /usr/ports eller http://www.squid-cache.org/).
Squid supporterer forskellige auth metoder:
* LDAP: Uses the Lightweight Directory Access Protocol
* NCSA: Uses an NCSA-style username and password file.
* MSNT: Uses a Windows NT authentication domain.
* PAM: Uses the Linux Pluggable Authentication Modules scheme.
* SMB: Uses a SMB server like Windows NT or Samba.
* getpwam: Uses the old-fashioned Unix password file.
Du kan også lade din webserver håndtere adgangskontrollen. Det ville nok være
ret smart, da man der kan bruge forskellige niveauer for adgang.
Hvorfor ønsker du at give adgang til din database via HTTP? Det er jo ikke
ligefrem en protokol der er i højsædet når vi taler sikkerhed ;)
Resten af din boks er en firewall.
> Din email, formatteret ;)
> Jeg vil installere en FreeBSD maskine som firewall og proxy, men jeg har
> følgende lidt specielle krav, som gør at jeg ikke ved om det kan lade sig
> gøre på en FreeBSD maskine.
> Computeren skal være firewall, og adskille et netværk som er offentligt
> tilgængeligt, fra et netværk som er privat. Brugerne på det offentlige
> netværk er trådløse, og deres trafik skal passere ind igennem det private
> netværk, på vej ud igennem ADSL forbindelsen. Firewallen skal derfor kunne
> blokkere adgangen fra det offentlige netværk til det private, men tillade
> at trafikken sendes ud igennem det private netværks gateway.
> Brugerne på det offentlige netværk, skal promptes for brugernavn og password
> når de forsøger at åbne en webside, således at man ikke kan komme på nettet
> uden brugernavn og password. Inden brugernavn og password indtastes skal der
> ikke være adgang ud, men når først brugernavnet og passwordet er indtastet,
> skal der være fuld adgang til nettet, så man kan bruge pop3, smtp osv.
> Brugernavnene og passwords skal ligge i en mysql database, så de kan
> administreres via et web interface.
> Jeg er kommet frem til en RADIUS server som bruger mysql, men hvordan jeg får
> kædet det sammen med firewall og/eller proxy, og hvilken firewall/proxy jeg
> kan bruge, ved jeg ikke.
> Jeg ved at vi på mit studie har en firewall-1 løsning som netop virker på
> denne måde, men den her løsning er kun relevant hvis det kan gøres med
> opensource programmer.
> Mit spørgsmål er om der er nogen som kender til programmer som understøtter
> denne form for authentication? Er det i virkeligheden nok med en proxy, eller
> skal der bruges andet, og i givet fald, hvad?
-- Med venlig hilsen Flemming Laugaard ------------------------------------ Military justice is to justice what military music is to music. -- Groucho Marx
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET