Jens Benecke schrieb: > Unser Firewall l�uft momentan mit iptables inkl. transparentem Proxy
Huahua - das b�se Wort: transparenter Proxy. Ich will gar nicht auf den technischen Aspekt raus, das w�re f�r mich schon Gegenargument genug. Dazu findest Du sicherlich ausreichend Pro/Contra im Netz. F�r mich ist es einfach eine Stilfrage. Ich finde es unangemessen die Nutzer zu g�ngeln oder gar im Unklaren zu lassen. Wenn die Betriebs- vorgaben einen Proxy erfordern, dann nutze ich auch die Funktion des Redirects, allerdings nur um die Nutzer auf einen extra Intranet vhost zu leiten, der als ErrorDocument die index.html ausliefert, die erkl�rt, warum man einen Proxy benutzen muss, wie man dies einstellt, usw. Guter DAU Mechanismus: die Leute wollen einfach in's Web und bekommen erst mal die Betriebsbedingungen und Anleitungen auf den Schirm. > Unser momentaner Gateway (P-Pro 200 - der Vorg�nger war ein 486DX-33 > :) hat IIRC momentan drei Netzwerkkarten. Er filtert mit iptables und > macht Accounting (via net-acct und ein paar Perl-Skripten und einer Hehe, ich kenne Leute, die meinen ein Gateway sollte m�glichst schwachbr�stig sein, um potentiellen Hackern kein zu leistungsf�higes System zu bieten... Ich habe da leider keine greifbaren Werte, aber jetzt noch ein paar witzige Ideen, wie den Nutzern ein Webinterface an die Hand geben, mit dem Sie Firewall-Regeln f�r ihre feste IP am Gateway definieren k�nnen. Und fleissig conntrack verwenden, mtrg oder �hnliche CPU-Killer und es wird sicher eng mit einem P200. Die Methode eine alte Kiste f�r's Gate zu verwenden ist sehr verbreitet. Ich unterst�tze das, wenn der Gedanke dahinter steht, dass ein bereits benutztes System, dass so schon einige Monate sauber lief mit einem geringeren Ausfallrisiko behaftet ist, wie eine neues frisch aus dem Karton. Ansonsten versuche ich das gleiche zu verwenden, wie f�r Web- oder andere Dienste auch. Vereinfacht die Austauschbarkeit und heutzutage kann in einigen Szenarios auch ein Gateway eine anst�ndige CPU-Power ben�tigen. > �ber SSH getunnelten MySQL-Verbindung zum Hauptserver). Momentan geht > da pro Monat ca 200-300GB Traffic dr�ber. Ordentlicher Wert. Bei einer 2Mbit im Grunde schon Volls�ttigung, wenn sich das in den �blichen Gausschen Schwankungen �ber den Tag verteilt. Hansenet freut sich sicher schon ;-) > Server und das Gateway. An der anderen Seite des Gateways h�ngt eine > Cisco (2500?), und daran h�ngt der SDSL-Splitter zur TUHH. Wenn die Cisco eine eigene IP hat und sich von einem Client, der eine IP im gleichen Netz hat, nicht direkt (sondern nur �ber das Gate) ansprechen l�sst, sollte alles im gr�nen Bereich sein. Na ja, dann k�nnt Ihr ja Eurer RZ verbl�ffen, dass man mittlerweile f�r den Router einer 2Mbit keine -zig tausend Taler ausgeben muss, sondern meistens ein kleines harmloses K�stchen kostenlos gestellt bekommt. Sieht man trotzdem noch h�ufig, teure Ciscos als reines Leitungsabschlussger�t mit einem belanglosen statischen Routing - Hauptsache Markenlabel. > Ich will den Leuten, die meinen es zu brauchen, eine M�glichkeit > geben, ihren Traffic-Wahn auszuleben - und die, die es nicht > interessiert, weil sie sowieso nur 10MB im Monat f�r drei EMails und > etwas rumgesurfe brauchen, nicht weiter st�ren. Absolut eine gute Idee, prim�r mal nur private IPs per DHCP zu verteilen. Da k�nnen die User nicht viel falsch machen. Dabei wird am Gate MASQUERADE in Richtung Hansenet und f�r bestimmte Dienste oder Ziel-IP im Uninetz SNAT �ber die Uni-Linie gemacht. Nutzer, die sich besser auskennen und die Vorteile einer festen IP haben m�chten, k�nnten sich diese dann gezielt holen. Sei's manuell oder �ber ein selbstgebasteltes Webinterface. -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
