===== MuOnline Server : Выбираем файрволл =====
-----------------------------------------------
Одна из самых важных проблем при создании своего сервера - это выбор файрволла.
Правильный выбор файрволла очень важен,если вы не хотите чтобы ваш сервер
был похож на Alien Nation без вашего ведома =).Да и не каждый захочет
видеть admLoki в exl шмотках+15,которых не носит даже создатель
сервера =).Именно поэтому нужно выбрать тот файрволл(а при наличии
второго компьютера в домашней сети сервера - IDS),с которым ваш сервер
будет в полной безопасности(ну почти в полной =)). == Путь 1-ый.Ставим файрволл ==
На мой взгляд,один из самых лучших файрволлов - ISS BlackICE Server Protection.
Он включает все возможности обычных домашних файрволлов(Zone
Alarm,Agnitum OF),а так-же полный отчет при попытке
подключения/сканирования/взлома/посылке шеллкода на удалённый порт и,
конечно,пресечения данных нехороших вещей =).Вы можете сами задать
необходимые правила для того или иного порта(подключение/пакет) или события.
== Путь 2-ой.Ставим IDS ==
Что такое IDS?
IDS - Interactive Defence System(да простит меня Myth если я ошибся).
IDS занимается обнаружением атак,неизвестных подключений к
портам,появлений неизвестных портов(а особенно тех,на которых висят
суидные шеллы =)) и т.д.,причем он защищает не только сам компьютер,но
и крутящиеся на нём сервисы(www,mysql,mail etc ).IDS есть как под
UNIX-Like системы,такие как Linux,Solaris,*BSD,Debian,так и под
win32-системы(Windows NT,2k,2k Server,XP).
Один из самых известных IDS для Linux - Snort.Он относится к пассивным
IDS,которые только заносят в логи IP,время и историю действий.
Дам пару советов по правильной установке связки компьютеров.
1.IDS можно настроить на любую подсеть,но всё-таки желательно чтобы
компьютер,на который вы решились поставить IDS был как-бы впереди,и
принимал на себя все атаки,выполняя роль хардварного роутера и
брэндмауера.Если у вас нету квалификации в Linux,то советую поставить
вам графический эмулятор другой операционной системы(например,Virtual
PC от Microsoft,правда я в нём так и не разобрался),на котором и будет
крутиться IDS.
2.Если вы решили сделать так,как будет в совете 1,то совет 2 я могу
сформулировать так :
1.Сделайте так,чтобы при попытке коннекта на компьютер-защитник
,например на порт 44450,пакет перенаправлялся собственно на
компьютер-сервер.Сделать это несложно,если иметь опытного друга-техника.
Можно просто настроить компьютер-защитник на маршрутизацию - идей море!
=== Возможные проблемы ===
1.Из-за того,что unix-like системы в основном используют другую
файловую систему(ext2fs,reiserfs) в отличие от
windows(fat16/32,ntfs),потребуется самостоятельно разбить(не в
буквальном смысле =)) жесткий диск на разделы для Linux.Но это не
самая главная проблема.
2.Проблема в установке Linux.Я рекомендую именно эту систему,так-как
для новичка там,ИМХО,самый лучший графический интерфейс KDE.Но вот
установка системы может затормозить весь процесс где-то на час или
два,что не всегда приятно.Советую купить себе User
Guide/Manual/Руководство пользователя для системы,которую решили
выбрать вы.
