Div. spørsmål
Karl-Arne Gjersøyen
Jeg jobber som frivillig på en instutisjon for narkomane og skal snar†
igang med å legge opp nytt nettverk der. Vi skal i utgangspunte ha 2
nettverk. Ett for personalet og et for beboerne. Det skal være 6-7
arbeidsstasjoner på nettverket for personalet på det ene nettverket og
30 på nettverket for beboere.
Jeg har tidligere erfaring med Red Hat Linux, men tenker på å bruke
Ubuntu på 2 servere.
På mettverket for personalet tenker jeg på å bruke Samba der alle
felles dokumenter legges.
På Nettverket for beboerne er det behov for et "innholdsfilter" slik
at vi kan sperre ute uønskede sider. (Dvs. Vi ønsker å hindre beboerne
å besøke f.eks. pornosider m.m.)
På sistnevnte tenker jeg å bruke ev. proxyserver? IP Filtrering er
ikke nok for å hindre besøk på slike sider etter hva jeg vet.
Jeg trenger derfor tips relatert til IP Filtrering som f.eks. ipchains
og bruk av proxy server på Ubuntu. Noen som vet om ev. bøker som
omtaler dette? Finnes ipchains på Ubuntu? Hva med bruk av proxy? er
dette rett tankegang mht "innholds filtrering"?
Jeg vurderer å legge inne Windows 7 Pro på arb.stasjonene for
personalet. Virker dette OK i forhold til samba på Ubuntu eller bør vi
kjøpe XP eller Windows Vista i stedet?
Takk for all hjelp.
Mvh Karl-Arne
Mail: karlarneg(a)gmail.com
David Brown
> Hei.
> Jeg jobber som frivillig på en instutisjon for narkomane og skal snar†
> igang med å legge opp nytt nettverk der. Vi skal i utgangspunte ha 2
> nettverk. Ett for personalet og et for beboerne. Det skal være 6-7
> arbeidsstasjoner på nettverket for personalet på det ene nettverket og
> 30 på nettverket for beboere.
>
> Jeg har tidligere erfaring med Red Hat Linux, men tenker på å bruke
> Ubuntu på 2 servere.
Både Red Hat og Ubuntu skal fungere fint som serverer - det beste valget
er nok den du er mest vant med. Dersom du ønsker Red Hat, men ønsker
ikke kostnaden av Red Hat Enterprise versjonene, burde du se på CentOS -
det er akkurat som Red Hat Enterprise, men uten kostnader (og uten Red
Hat sin kommersielle støtte, selvfølgelig).
Du trenger også å tenke litt på hvordan du ønsker å administrere
serverene. Noen føler seg tryggere med skjerm og tastatur koblet til
serveren, og bruker gui programvare direkte på serveren. Andre liker å
bruke web grensesnittet, og andre liker ssh og kommandolinje over
nettverket. Dette igjen påvirker valget. Personlig liker jeg best å
bruke ssh, men av og til webmin (spesielt til Samba konfigurasjon).
Det fine med Linux er at du kan laste ned CD'ene og prøve forskjellige
løsninger før du bestemmer deg. Og hvis du har en PC hjemme med godt
nok med minne (minst 2 GB), kan du installere VirtualBox (gratis, og
fungere fint på både Windows og Linux) og prøve ut distro'ene uten å ha
selve hardwaren.
Selv om det går fint å sikre en Linux server til Internett tilkobling,
jeg anbefaler at du også få en hardware brannmur / NAT router som kan
stå mellom serverene og Internett. Det trengs ikke koster mer enn noen
få hundrelapper, og spare deg for å tenke på den biten av sikkerheten.
Du kan til og med kjøpe to for å skille av personallnettverket og
brukernettverket.
> På mettverket for personalet tenker jeg på å bruke Samba der alle
> felles dokumenter legges.
Samba fungere fint - det er lett å konfigurere på serveren, og spille i
lag med både Linux og Windows klienter. Jeg har ikke prøvd Domain eller
Active Directory med Samba, med du kan ordne sharing og tilgangskontroll
uten problemer.
> På Nettverket for beboerne er det behov for et "innholdsfilter" slik
> at vi kan sperre ute uønskede sider. (Dvs. Vi ønsker å hindre beboerne
> å besøke f.eks. pornosider m.m.)
> På sistnevnte tenker jeg å bruke ev. proxyserver? IP Filtrering er
> ikke nok for å hindre besøk på slike sider etter hva jeg vet.
>
> Jeg trenger derfor tips relatert til IP Filtrering som f.eks. ipchains
> og bruk av proxy server på Ubuntu. Noen som vet om ev. bøker som
> omtaler dette? Finnes ipchains på Ubuntu? Hva med bruk av proxy? er
> dette rett tankegang mht "innholds filtrering"?
>
Det er flere steg til sikkerheten her, med forskjellige grad av
vanskelighet i implementering, og i hvor sikre de er. Er beboerne
dyktige nok i faget, og bestemt nok, kommer de rundt de fleste
hindringer - det er umulig å være 100% sikker. De kan alltids lage en
langavstand WLAN antenna med en Pringles boks og en kleshenger, og
"låne" trådløsnettverket til naboen.
Det enkleste er å bruke OpenDNS til DNS server istedenfor ISP'en sin.
Du kan lage en profil på OpenDNS og velge bort de type websider du ikke
ønsker at beboerne skal få se på. Det er ikke 100%, men OpenDNS er
nokså flinke, og holde listene sine oppdaterte.
Du kan også installere en DNS server på serveren din, og bruke den på
nettverket. Da kan du lett blokkere (eller whitelist) andre websider i
tillegg til blokkering via OpenDNS - enten ved å spesifisere dem
manuelt, eller med bruk av blokklister som er tilgjengelig på nettet.
DNS-basert begrensingene er raskt og enkelt å implementere, og de er nok
for de fleste. Men har brukere som vet hva /etc/hosts (eller
c:\windows\system32\drivers\etc\hosts) er, kan de komme rundt det.
Du burde begrense trafikken til port 80 (http) og port 443 (https) i
utgangspunkt, og deretter andre tjenester som du føler er nødvendig.
Det er i hvertfall viktig å blokkere DNS portene - ellers er det altfor
lett å komme rundt DNS filteret. Disse begrensingene er gjort med
iptables ("ipchains" har blitt pensjonert til fordel for iptables i
mange år). Alle distribusjonene har brannmur programvare av
forskjellige type (noen som følger med basesystemet, andre som man
installere etterpå). Slike programvare fungere med å gjøre det lett å
lage iptables regler. Igjen, det er ikke lett å anbefale en løsning
uten å vite hvordan du liker å kjøre slike administrasjonsprogramvare,
og hvor komplisert du ønsker å ha systemet.
iptables brannmurer gir deg også mulighet til å blokkere tilgang til
bestemte ip adresser, som er vanskeligere å jobbe rundt enn DNS
blokkeringer.
Det er også mulig å bruke en web proxy som squid, samt
filteringprogramvare som squidguard, dansguardian, osv. Men jeg ville
bare gjøre det dersom det blir nødvendig - det er mye mer resurskrevende
på serveren, og lite mer effektiv enn DNS filtering. Din målgruppe
gjøre det spesielt vanskelig - hvordan skal en filter skille imellom en
webside med informasjon om HIV og sprøyte bruk, og en narkotika online
webshop? DNS filteren ser lett forskjellen mellom www.hivinfo.no og
www.narkotikaonline.no, men det gjør ikke en web filter.
> Jeg vurderer å legge inne Windows 7 Pro på arb.stasjonene for
> personalet. Virker dette OK i forhold til samba på Ubuntu eller bør vi
> kjøpe XP eller Windows Vista i stedet?
>
Jeg har bare brukt Windows 7 litt. Min inntrykk var at det fungerte,
men er har ikke funnet noen grunn til å bytte fra XP når det gjelder
Windows (Vista er en dårlig vits - ikke tenk på å bruke det). Det er
riktig at det ser fint ut med en fin runde klokke på desktopen, men jeg
vil heller ha en fin klokke henge på veggen og bruker PC skjermen til å
kjøre programmer.
Men både XP og Vista skal fungere fint med Samba på serveren. Dersom
personalet trenger windows (hvorfor ikke Ubuntu?), bruk den som passer
best når du får takk i arbeidsstasjonene.
Skal du være involvert i pc'er til de beboende? Hvis ja, burde du
kanskje se på Ebuntu eller Linux Terminal Server prosjekter.
Dette er et nokså lite trafikkerte newsgroup - jeg har cross-postet
dette til no.it.os.unix.linux.diverse fordi jeg vet at det er flere
dyktige folk som følger den gruppen. Dersom engelsk kunnskapen din er
god, kan det også være lurt å spørre i noen engelskspråklig grupper,
spesielt når spørsmålene blir mer konkrete og detaljerte.
Lykke til,
David
Hans Tore Lem
> kjøpe XP eller Windows Vista i stedet?
Spyl heller pengene ned i dass... *he-he*