>Прозрачный прокси, маскарад... в чём разница, что применить лучше - запутался совсем

прозрачный прокси используеца чтобы не настраивать браузеры у всех юзеров

маскарад, используетца если у тебя выход в мир с использованием динамического ip.

NAT/PAT тоже что маскарад только если статический ip.

>Также надо, чтобы подсетки друг друга не видели

iptables

>и по мылу кидал?

ну зачем же по мылу. ложи в базу. и прикрути к ней вэб морду.

>очень не хочется платить за спаммерский траф в случае взлома :)

http://www.opennet.ru/base/sec/linux_dos_guard.txt.html

Сначала роутинг, потом iptables (маскарадинг, прозрачный прокси(если хочешь трафик экономить), цепочки для подсчета трафика, правила для фильтрации лишнего). Трафик писать можно в mysql, а управлять через http или ssh

За ссылку - пасибки!

А вот веб-интерфейс - ведь, чем больше фич, тем меньше надёжность? (ИМХО). У меня же главная цель - чтобы не поломали мой шлюз :) И потом, я не слишком уверен в своих силах, поэтому мне бы какие попроще реализации.

Меня в NATе вот ещё что интересует: если я наружу из локалок никаких сервесов предоставлять не буду, могу ли я обойтись одним SNATом, или DNAT всё равно понадобится (для чего-либо)?

Достаточно только SNAT. Для удаленного управления лучше использовать ssh, если важна безопасность, лучше apache и прочие сервисы вообще не поднимать. В идеале ssh должен быть единственным демоном, слушающим порты, желательно для него ограничить список IP с которых возможно соединение.

Или ключик себе на дискетку записать... А вообще веб-морда абсолютно безопасность не уменьшит если ставить апач на 127.0.0.1, а потом в ssh ключик есть -L так вот если сделать ssh -L 80:127.0.0.1:80 а потом в браузере набрать localhost то вы будете видеть заглавную страницу вашего сервера, а никто больше не будет. Аналогично можно и в БД лазить, да и вообще везде, при этом все данные ещеи шифруются по ssh, вообщем не жизнь а малина. Не очень быстро конечно, но по dial-up-у из html страницы с отчетами очень нормально смотрятся. Если необходимо учитывать только траффик через проксю, то есть такая прога как sarg : http//sarg.sourceforge.net (он сам html отчеты из squid-овских логов генерить умеет). ДАААА Мужик у тебя ж Mandrake 9.2, так х.. ли ты тут вопросы задаешь там же Webmin есть - полнофункциональный пакет для удаленного админимтрирования серверов! Там при установе про него столько поют заслушаешься. Попробуй, тем более говоришь опыта мало...Good Luck

Помогите с правилами iptable, пожааалста!!!

>ДАААА Мужик у тебя ж Mandrake 9.2, так х.. ли ты тут вопросы задаешь там же Webmin есть - полнофункциональный пакет для удаленного админимтрирования серверов! Там при установе про него столько поют заслушаешься.

Дык... именно за неимением опыта я и хочу ssh юзать. Итак маловато знаний, а тут этот вебмин - зверь новый, неизведанный...

Теперь меня следующая проблема мучает - какие правила для iptables прописать, чтоб было _правильно_?

Конфигурация прежняя - eht0 (реальный IP, к прову), eth1, eth2, eth3 - внутренние подсетки вида 192.168.1-3.0/24.

Пользователям нужен максимально прозрачный Инет - т. е. в идеале все порты изнутри должны быть для них открыты.

Снаружи - всё наглухо закрыто. Никаких сервисов юзеры наружу из локалок не предоставляют, если ася не будет фурычить, или фтп только пассивным будет - не вопрос :)

Приоритеты такие:
1) Безопасность роутера-фаервола
2) Безопасность локалок

Применительно к указанному случаю, какой набор правил лучше составить (или ссылочку где можно на примеры взглянуть)? Имею ввиду тонкости вроде запрета NEW пакетов без флага SYN, разрешения каких ICMP и т. п.?

>Good Luck
Исренне пасиба! :) Она мне понадобится.

Там помоему про все про это есть и даже немного больше... http://www.opennet.ru/docs/RUS/iptables/ А еще ищи там же, но про ipchains (в ней теория рассказана о всех этих типах пакетов и т.д.) Кстати как приложение идет скрипт поднимающий firewall со всеми базовыми настройками. Ставить его не советую, но как пример вполне сгодится

Спасибо!

shorewall лучше снести и вручную правила iptables прописать.