NNTP

Jak wspomnieliśmy w rozdziale 16, „Poczta elektroniczna i grupy dyskusyjne”, najpraktyczniejszym sposobem skonfigurowania NNTP w środowisku firewallowym jest pozwolenie dostawcom usług NNTP na bezpośrednie porozumiewanie się z twoim wewnętrznym serwerem grup Usenetu i vice versa. Potrzebowalibyśmy bardzo ważnego powodu, żeby postąpić inaczej, i trudno wyobrazić sobie, co by to mogło być. Jeśli nawet jeszcze nie mamy wewnętrznego serwera grup dyskusyjnych, zainstalowanie go nie jest trudniejsze niż uruchomienie serwera grup w hoście bastionowym, a z pewnością o wiele bezpieczniejsze. Serwery grup dyskusyjnych regularnie ulegają awariom i choć problemy te zwykle nie mają związku z bezpieczeństwem, nie powinieneś instalować w hoście bastionowym oprogramowania, które wymaga ciągłej obsługi.

W naszym przykładzie przyjmiemy pojedynczy, zewnętrzny strumień danych NNTP. DNS. Jak stwierdziliśmy w rozdziale 2, „Usługi nazewnicze i katalogowe”, usługi DNS najlepiej świadczyć przez firewall za pomocą pary serwerów: jednego w hoście bastionowym, a drugiego w hoście wewnętrznym. Podobnie jak w NNTP, w DNS liczba sensownych rozwiązań jest mocno ograniczona. Musimy zdecydować, czy używać oddzielnego serwera wewnętrznego i zewnętrznego w celu ukrywania informacji, czy też pozwolić światu zewnętrznemu na poznanie wszystkich naszych danych o hostach. Pozwalając na bezpośrednie połączenia FTP w trybie pasywnym, właściwie podjęliśmy już decyzję. Bezpośrednia komunikacja FTP w trybie pasywnym wymaga bardzo skomplikowanej konfiguracji DNS, aby zapewnić ukrywanie informacji, nadal dostarczając poprawne dane hostom wewnętrznym, które są klientami FTP.