[Bordermanager] I'net verkeer gaat "langs" de BM

Punt 1:
Naar alle waarschijnlijkheid heb je NAT aanstaan.
Deze kun je uitzetten dmv:
INETCFG -> Bindings -> Public NIC -> Configure TCP/IP Bind options -> Expert TCP/IP Bind options -> Network Adress Translation -> DISABLED (staat nu waarschijnlijk op STATIC ONLY)
(Het feit dat je zonder een default GW niet kunt inetten geeft mij voor bijna 99% zekerheid dat je NAT aan hebt staan op je Pub NIC)

Punt 2: Heb je de TCP/IP filters ook wel enable
Dit kun je checken door te kijken of IPFLT.NLM geladen is, en kun je aan/uit zetten dmv:
INETCFG -> Protocols -> TCP/IP-> Filter Support -> ENABLED

NAT zal wel aan staan....

Ik denk idd dat NAT aanstaat op je Default route. Daarnaast moet het vinkje Enforce access rules aanstaan in Bordermanager Setup.

Ye Greate'96 schreef op 29 January 2003 @ 08:07:
[...]


Tja, ik ben bang dat NAT reeds op Disabled stond....

Wat is het effect van die ip-filters precies? Ik heb gisteren daar ook al naar zitten kijken, maar twijfel nog of ik die aan kan zettten zonder dat het problemen opleverd....

Die ip filters zijn de rules van je firewall

Koffie schreef op 29 January 2003 @ 09:31:

[...]


Die ip filters zijn de rules van je firewall

Mjah, en die zijn wel handig afaik

Laat je gewoon poortje 80 door met NAT misschien? Waarom geen rule voor alleen verkeer DOOR de proxy?

Het zal toch niet zijn dat je gewoon routert door de BM heen?

euh .. "Reinitialize system" zal wel voldoende zijn hoor

NOFI, maar misschien eens een boek over MB lezen ?

Over boek gesproken,
In de evaluatie versie van BorderManager 3.7(http://download.novell.com) zit de pdf versie van het boek "Beginner's Guide to BorderManager 3.x" van onze wel bekende BorderManager goeroe Craig Johnson (http://nscsysop.hypermart.net/)

Damn .. sinds wanneer is die gratis
Heb 'm ooit gekocht namelijk

nee hoor, het complete boek zit er niet in. Het is de lite versie:

Op zijn website staat:

Note: This book is not included with BorderManager 3.7. A 'lite' version, covering only a simple installation and HTTP proxy is included on the BorderManager 3.7 product CD.

Bordermanager is ook enorm on doorzichtig vind ik. Het is een mooi product voor novel omgevingen maar ik zou het persoonlijk niet als "enige" corporate firewall in durven zetten. Anyway, werkt het al?

Misschien staat op de client nog geen clntrust?

Bor_de_Wollef schreef op 31 January 2003 @ 09:31:
Bordermanager is ook enorm on doorzichtig vind ik. Het is een mooi product voor novel omgevingen maar ik zou het persoonlijk niet als "enige" corporate firewall in durven zetten. Anyway, werkt het al?

Niet als "enige"firewall durven inzetten?!?
Zet jij er dan 3 achter elkaar of zo?
Onze gemeentelijke dienst (750 werkplekken) draait er al jaren mee. Het is inderdaad uitgebreid configureerbaar. Echter als je zo'n belangrijk onderdeel gaat inzetten voor je bedrijf, lijkt het mij toch ook niet meer dan vanzelfsprekend dat je dan laat ondersteunen door een gespecialiseerd bedrijf of een goede cursus gaat volgen.
Daar leer je dan dat een basisinstallatie (waarbij alles van buiten naar binnen potdicht zit) een kwestie is van de software installeren en "brdcfg" intypen op de console is. Je moet alleen zorgen dat je adapters een duidelijke naam hebben, dus bv name=ce100b_1 vervangen door name=public en name=ce100b_2 vervangen door name=privat.

Daarna kun je beginnen met bv het open zetten van poorten van binnen naar buiten of het regelen van wie wanneer/waarheen/waarnaartoe mag etc etc.

Installatiehulp is genoeg te vinden op internet: zoeken met google naar Novell bordermanager brdcfg levert bv:
http://www.novell.com/doc...nst_enu/data/a20gkue.html

http://www.more.net/techn...ordermanager/bm35incf.pdf

ajhaverkamp schreef op 31 januari 2003 @ 09:59:
[...]


Niet als "enige"firewall durven inzetten?!?
Zet jij er dan 3 achter elkaar of zo?

Daar leer je dan dat een basisinstallatie (waarbij alles van buiten naar binnen potdicht zit) een kwestie is van de software installeren en "brdcfg" intypen op de console is. Je moet alleen zorgen dat je adapters een duidelijke naam hebben, dus bv name=ce100b_1 vervangen door name=public en name=ce100b_2 vervangen door name=privat.

Ik heb de boeken ook wel gelezen en ook wel wat ervaring hoor. Wat ik bedoel is dat ik gewoon niet voor bordermanager zou gaan maar liever voor CheckPoint of Cisco Pix. Wij hebben eens problemen gehad met de BM en ik kan vertellen dat zelfs Novell daar niet zo heel veel kennis van heeft. Het product wordt gewoon niet zo veel ingezet. Meestal alleen bij bedrijven die Novell als standaard hebben en dat worden er toch echt steeds minder. Ik zeg ook niet dat het een slecht product is oid. Ik zou zelf alleen wat anders kiezen. Het is gewoon niet echt een transparant product vind ik. Maar goed, back to ontopic.

Ye Greate'96 schreef op 28 January 2003 @ 18:04:
Situatie is:

Hoe kan een client nou langs de Bordermanager verbinden met internet?

Heeft iemand een oplossing of een idee?

Heb je al BRDCFG gedraait vanaf de consoleprompt? Die creeert alle standaardfilters en stelt in dat je alleen via de proxy naar internet mag (eigenlijk mag jij dan nog niet, maar gaat de proxy het voor je halen).
Hierna zou je dus zonder proxyinstelling op de client niet naar internet kunnen.

Als je alleen een firewall zoekt zou ik ook niet voor BM gaan. Maar als ie b.v. ook een file-server, printer-server, webserver of zo moet zijn, dan juist wel. Als intra/internet-server istie zwaar ondergewaardeerd.

Verwijderd schreef op 31 januari 2003 @ 13:06:
Als je alleen een firewall zoekt zou ik ook niet voor BM gaan. Maar als ie b.v. ook een file-server, printer-server, webserver of zo moet zijn, dan juist wel. Als intra/internet-server istie zwaar ondergewaardeerd.

Het is nooit een goed idee om meerdere servers op een firewall te draaien.

Och.... webserver met niet al te belangrijke files.... heb ik geen probleem mee... of andere dingen... java-spul, gw-mta/gwia of zo...

En met Novell.... kun je toch wat meer.... errug lastig te hacken...

Verwijderd schreef op 31 januari 2003 @ 16:23:
Och.... webserver met niet al te belangrijke files.... heb ik geen probleem mee... of andere dingen... java-spul, gw-mta/gwia of zo...

En met Novell.... kun je toch wat meer.... errug lastig te hacken...

Het gaat ook niet om de files, maar als de webserver OP de BM draait en je hackt die ben je dus gewoon helemaal in de BM binnen. Errug lastig te hacken valt ook wel weer mee trouwens. Er zijn net zo goed exploits etc voor novell als ieder ander os. Doordat het minder gebruikt wordt ligt het alleen niet zo in het oog van de "hackende" wereld. Er zijn gewoon standaard tooltjes voor namelijk. Anyway, back ontopic.

[ Voor 8% gewijzigd door Bor op 01-02-2003 14:19 ]

De moeilijkheidsgraad voor novell-exploits is behoorlijk hoog.