[LUGA] Mit freundlicher Unterstützung von:
OCG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] linux firewall



On Mon, 28 Jan 2002 14:56:24 +0100, Michael Demelbauer writes:
>Disclaimer: Leute, die wirklich was von Firwalls verstehen, sollten
>diese Email ungelesen kübeln :-( .

Warum? Deine Ausfuehrungen sind nicht unrichtig,

>Dies hat zahlreiche Vorteile bei unter stateless schwierig bis gar nicht
>sicher zu konfigurierenden Diensten (wie z.B. active ftp)

Active FTP ist recht einfach zu konfigurieren, nur muss es bei 
 stateless Filtering der Applikation allein ueberlassen werden, zu 
 entscheiden, ob die Connection auf den -data-Port legal oder nicht ist.

>Der einzige Grund, aus dem man heutzutage noch einen 'stateless packet
>filter' unter Linux installiert, ist jedenfalls, um daraus zu lernen,

Und ueberall dort, wo die Performanz das Checken des States nicht 
 zulaesst, bzw. wo sich dann eh Application Layer Proxies/Gateways drum 
 kuemmern.

>IdF. ist es besser die benötigte Expertise zuzukaufen,

Wird das WSR jetzt Kunde von uns :-? SCNR.

Der fuer den Konfigurierer wesentlichste Unterschied zwischen ipfwadm 
 und ipchains ist, dass bei ersterem rein auf First Match gearbeitet 
 wurde, dh die erste Regel, die auf Paket passte, bestimmte dessen 
 Schicksal ( ;-) ). Bei ipchains hat man hingegen die Moeglichkeit, 
 if-then-else - Konstrukte zu bauen und damit genauere Kontrolle zu 
 ermoeglichen (ausserdem kann man auf mehr IP-options zugreifen). Bei 
 iptables kann man nicht nur das, sondern eben auch eine Matrix 
 gueltiger Verbindungen halten, und (automagisiert) gegen diese checken.

>Wenn du dann immer wieder versuchst, anfallende Konfigurationsprobleme
>selbst zu lösen, lernst dus sicher irgendwann, aba leicht is des ned

Es gibt mittlerweile genug gute HowTo's und FAQs zu dem Thema da 
 draussen, das ist gar nicht mehr so schwer. Und mit Tools wie (ich 
 wiederhole mich) fwbuilder sollte es auch dem "Laien" ohne grobe 
 Probleme moeglich sein, sinnvolle Rulesets zu bauen. Das Problem, 
 wissen zu muessen, was verschiedene Services eigentlich tun und wie sie 
 mit anderen zusammenspielen, wird dadurch aber leider nicht geloest 
 (was ist auth und warum braucht mein sendmail immer so lange...), 
 aber das ist eine Schicht hoeher...

cheers,
&rw
-- 
-- Giga
-- Teletubbies for script-kiddies.


Attachment: signature.ng
Description: PGP signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010