gigacampus » start page » vkfilter

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

gigacampus:vkfilter [2010/02/08 14:27]
127.0.0.1 external edit
gigacampus:vkfilter [2010/02/17 12:20] (current)
faltin@uninett.no
Line 1: Line 1:
-====== Pakkefilter og epostoppsett på verktøykassene ====== +kontakt drift@uninett.no
- +
- +
-===== Anbefalt filterkonfigurasjon rundt verktøykassene ===== +
- +
-Merk: disse reglene forekommer også som ''/tftpboot/verktøykasse.acl'' på ''trane'' +
- +
-<code> +
-+
-! Mal for pakkefilter for verktoykassene +
-+
-! Forutsetning at established regel er i starten pa filteret fra for. +
-! Alt som staar inne i '' maa erstattes til rette lokale adresser +
-+
-! Tillat ssh fra UNINETT mot verktoykasse +
-! Husk her aa legge til tilgang fra lokale nett ogsaa +
-access-list 'xxx' permit tcp 158.38.62.0 0.0.0.255 host 'kasse' eq 22 +
-+
-! Tillat DNS-svar fra oliven.uninett.no og lokal navnetjener mot verktoykasse +
-access-list 'xxx' permit udp host 158.38.0.168 eq 53 host 'kasse' +
-access-list 'xxx' permit udp host 'lokal navnetjener' eq 53 host 'kasse' +
-+
-! Tillat NTP-svar fra oliven.uninett.no mot verktoykasse +
-access-list 'xxx' permit udp host 158.38.0.168 eq 123 host 'kasse' +
-+
-! Tillat overvaakning fra storebror.uninett.no mot verktoykasse +
-access-list 'xxx' permit ip host 158.38.130.84 host 'kasse' +
-+
-! Tillat vedlikehold og oppdateringer fra hummer.uninett.no og kanari.uninett.no (cf-engine) +
-mot verktoykasse +
-access-list 'xxx' permit ip host 158.38.130.40 host 'kasse' +
-access-list 'xxx' permit ip host 158.38.130.41 host 'kasse' +
-+
-! Tillat diverse trafikk fra trane.uninett.no mot verktoykasse +
-access-list 'xxx' permit ip host 158.38.0.184 host 'kasse' +
-+
-! Tillat diverse fra loopback0 paa alle dine rutere mot verktoykasse +
-! "ip ssh source-interface loopback0" konfigureres pa ruter +
-! "ip flow-export source Loopback0" konfigureres paa ruter +
-! "ip tftp source-interface Loopback0" konfigureres paa ruter +
-! NAV maa sporre loopback0 paa ruteren ved snmp-sporringer +
-! Verktoykassen maa sporre loopback0 paa ruteren dersom man skal faa oppdatert klokka av den +
-access-list 'xxx' permit ip host 'ruter loopback0' host 'kasse' +
-access-list 'xxx' permit ip host 'ruter2 loopback0' host 'kasse' +
-+
-! Tillat diverse trafikk fra interne svitsjer mot verktoykasse +
-!evt bytt ut 'host svitsj' med en hel nettadresse dersom alle svitsjer staar paa samme nett. +
-access-list 'xxx' permit ip host 'svitsj' host 'kasse' +
-access-list 'xxx' permit ip host 'svitsj2' host 'kasse' +
-+
-! Tillat webtrafikk mot verktoykasse(NAV grensesnitt) +
-! Evt kan man aapne for bare interne nett. Men husk ogsaa da 158.38.62.0/24(UNINETT) +
-access-list 'xxx' permit tcp 158.36.0.0 0.3.255.255 host 'kasse' eq 80 +
-access-list 'xxx' permit tcp 158.36.0.0 0.3.255.255 host 'kasse' eq 443 +
-+
-! Tillat ICMP utenfra +
-access-list 'xxx' permit icmp any any +
-+
-! traceroute: 90 ports starting at 32768 + 666 = 33434 +
-access-list 'xxx' permit udp any any range 33434 33523 +
-+
-! Steng resten mot verktoykasse +
-access-list 'xxx' deny ip any host 'kasse' +
-</code> +
- +
-===== Epost oppsett ===== +
- +
-Institusjonen må selv ha en smarthost. Verktøykassen sin utgående eposttrafikk (smtp) skal gå til denne maskinen. Filter må nødvendigvis tillate dette. +
  
 
 
gigacampus/vkfilter.txt · Last modified: 2010/02/17 12:20 by faltin@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups