---

Hejsa!

Nu haaber jeg at jeg er gaaet i det rigtiget forum. Overvejede ogsaa
windowsgruppen.

Jeg har et problem:

Jeg har en stak servere staaende i hostingcenter i usa. De er lige nu
ikke beskyttet af firewall paa nogen maade. Det skal de gerne.
Jeg har nogle krav til saadant et firewallprodukt, saa jeg vil hoere om
I kender noget der opfylder det:

Jeg vil kunne opstille regler for indgaaende trafik, f.eks.:
kun <min ip> maa henvende sig til port 3389
alle ip'er maa henvende sig til port 443
ingen maa henvende sig til port 21

og saa videre.

Der skal ikke komme en 'balladeboks' op naar et program paa maskinerne
vil snakke med omverdenen. Det skal bare vaere muligt at tillade det
generelt.

Derudover skal det vaere let at saette flere servere ens op, uden at
skulle saette alle reglerne op paa hver enkelt server.

Nogen der kender noget der kan det?

aah ja - pris. Hvis den er gratis goer det ikke noget, men jeg har
heller ikke noget i mod at skulle betale for det, isaer hvis den
opfylder alle mine behov.

--
Sune

---

On Mon, 23 May 2005 12:30:57 +0000 (UTC), Sune Vuorela
<nospam@vuorela.dk> wrote:

> Jeg har en stak servere staaende i hostingcenter i usa. De er lige nu
> ikke beskyttet af firewall paa nogen maade. Det skal de gerne.

Hvorfor vil du lave det med software-firewalls? Hvorfor ikke lave det
med stand-alone firewalls, der sidder foran serverne? Det er da meget
nemmere at administrere.

-A

---

On 2005-05-23, Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
> Hvorfor vil du lave det med software-firewalls? Hvorfor ikke lave det
> med stand-alone firewalls, der sidder foran serverne? Det er da meget
> nemmere at administrere.

Det er saadan nogle discountservere der staar i usa som man ikke har
rigtig adgang til, saadan at man kan lave den slags tricks, som absolut
ville vaere det foretrukne.
Det eneste der er adgang til er ssh / remote desktop / andre
fjernadministrationsprogrammer som man kan bruge til at saette saadan
noget op med.
Saa rigtige firewalls er ikke muligt.

--
Sune

---

Sune Vuorela <nospam@vuorela.dk> wrote:

>Det er saadan nogle discountservere der staar i usa som man ikke har
>rigtig adgang til, saadan at man kan lave den slags tricks, som absolut
>ville vaere det foretrukne.
>Det eneste der er adgang til er ssh / remote desktop / andre
>fjernadministrationsprogrammer som man kan bruge til at saette saadan
>noget op med.
>Saa rigtige firewalls er ikke muligt.

Formoder du har et antal ftp / webservere kørende - Din opgave at at
holde øje med deres opsætning og log-filer.

Resten kan du roligt overlade til hostingcenteret. Og mon ikke de har
rimelig styr på de ting - Ellers tror jeg ikke de kører ret længe


<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

---

On 2005-05-23, Michael Rasmussen <mic@No_Spamdou.dk> wrote:
> Formoder du har et antal ftp / webservere kørende - Din opgave at at
> holde øje med deres opsætning og log-filer.

ja - det er absolut en del af det - men eksempelvis remote desktop vil jeg
gerne kunne styre til kun at snakke med specifikke ip'er
>
> Resten kan du roligt overlade til hostingcenteret. Og mon ikke de har
> rimelig styr på de ting - Ellers tror jeg ikke de kører ret længe

De har 3-4 generelle firewallopsaetninger hvor ingen af dem er gode nok
til mit behov.

--
Sune

---

Sune Vuorela <nospam@vuorela.dk> wrote:

>ja - det er absolut en del af det - men eksempelvis remote desktop vil jeg
>gerne kunne styre til kun at snakke med specifikke ip'er

Det er vel ikke urimeligt....

Maskinerne kører Win-XP skriver du - Hvordan med XP's indbyggede
firewall, er der ikke adgang til den ?

>> Resten kan du roligt overlade til hostingcenteret. Og mon ikke de har
>> rimelig styr på de ting - Ellers tror jeg ikke de kører ret længe
>
>De har 3-4 generelle firewallopsaetninger hvor ingen af dem er gode nok
>til mit behov.

Jeg gætter på at de har en striks firewall der kun åbner et lille antal
helt specifikke porte til dine servere...
<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

---

On 2005-05-23, Michael Rasmussen <mic@No_Spamdou.dk> wrote:
> Maskinerne kører Win-XP skriver du - Hvordan med XP's indbyggede
> firewall, er der ikke adgang til den ?

Gad vide hvorfor jeg egentlig skrev XP. Det er jo forkert. Det er
Windows Server 2003 de koerer med(!)

> Jeg gætter på at de har en striks firewall der kun åbner et lille antal
> helt specifikke porte til dine servere...

Ikke noget de reklamerer med de har i hvert fald.
De har en firewall med 3 forskellige standardopsaetninger, hvor ingen af
dem er saerlig strikse.

Men nu er det saadan at serverne af forskellige aarsager er fordelt over
flere hostingcentre - og det skal gerne vaere let at saette samme regler
op overalt.

--
Sune

---

Sune Vuorela wrote:
> Men nu er det saadan at serverne af forskellige aarsager er fordelt over
> flere hostingcentre - og det skal gerne vaere let at saette samme regler
> op overalt.

hsc.fr har lavet et frækt værktøj der omdanner en tekstfil med ipf
syntax til et Windows XP/2003 firewall ruleset.

   http://hsc.fr/ressources/outils/pktfilter/index.html.en

Du kunne jo opbevare denne tekstfil i et cvs/svn repository og lade dine
klienter køre update hver N minut.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On 2005-05-23, Alex Holst <a@mongers.org> wrote:
> hsc.fr har lavet et frækt værktøj der omdanner en tekstfil med ipf
> syntax til et Windows XP/2003 firewall ruleset.

Det ser godt nok rigtig fraekt og laekkert ud.

Der er dog et par ting med det - isaer at ham der udviklede paa det
stoppede udvikilingen tilbage i 2003 eller 2004 - og at aendringer i
windows ip-filter-dll-fil kan faa programmet til at stoppe med at virke.

Men jeg tror jeg starter med det - og saa maa vi se hvordan det ender.

--
Sune