gisladisker.se

Gisladisker.se

Erfarenheter i och av BSD.

Mina pekare
Gisladisker
IPv6
Källkodsregister
Paket för OpenBSD
Paket för FreeBSD
Debian GNU/Linux
FreeBSD
OpenBSD
Ohloh profile for Mats Erik Andersson
Om BSD
Här samlas några rön och kunskaper om FreeBSD, NetBSD, OpenBSD värda att hålla fram.
Brandväggar och nätslussar
Jag sysslar med Debian GNU/Linux och OpenBSD liksom FreeBSD.

Skulle det passa med en brandvägg och nätsluss? Jag hade under ett halvår en sådan av OpenBSD och som körde från en CF-kort enligt följande:

  • En yttre port.
  • Tre inre portar:
    1. Ett betrott inre nät.
    2. Ett tjänstenät dit epost och nätsidor från omvärlden riktas.
    3. Ett radionät med nätverkskort tjänstgör som åtkomstpunkt.
  • Nätslussen nyttjar en interntjänst relayd för att bortfallssäkra en eller flera maskiner för nätsidorna, eftersom brandväggen tillhandahåller en reservsida för det fall alla andra faller ifrån av något skäl.
  • I radionätet kräves en kryptonyckel för att först kunna få en adress, vilken i sig endast tillåter namnuppslagning och tidstjänst. Varje fråga på http-porten leds vidare till en intern och fast sida där upplysningar om bristande rättigheter meddelas. Först efter en ytterligare inloggning över authpf/ssh kan en användare öppna avtalade tjänste mot omvärlden över denna trådlösa förbindelse.
  • Allt epostflöde måste först godtagas av en tjänst spamd som hanterar grålistning liksom i förekommande fall svartlistning och fallgropar för avsändarna. Godkända avsändare tillåtes sedan lämna brevet till min posthantering.
En nyligen driftsatt maskin bygger på liknande tankar, men är byggd ur FreeBSD med byggsystemet nanobsd(8) och körs på en ALIX2d13. En sådan har tre nätverkskort så tankarna här ovan går igenom. Maskinen är stor som en cigarrask och har faktisk intern mikro-PCI för ett radiokort, fastän jag inte utnyttjar det. Processorn är en strömsnål Geode från AMD, en i586-klassad processor med gott om kraft för att hantera nätslussning och samtidig kryptering för IPSec eller andra VPN-förfaranden.
NFS och LDAP under IPsec
Att driftsätta en NFS-tjänst tvingar fram öppning av otrevligt många portar. Genom att kapsla de klienter som skall ha NFS-åtkomst till en OpenBSD-maskin i en IPsec-transport kan man komma runt detta. Förfarandet i att åstadkomma detta är inte helt lätt, men likafullt en framkomlig väg. När man ändå är i farten, då kan OpenLDAP-tjänsten skyddas av samma kryptotunnel!
Driftsatt under Apache Driftsatt under Debian GNU/Linux

Giltig XHTML 1.0 Strict Giltig CSS   Den 23:e februari 2014.