Re: Firewall-Scripte
Dieter Blocher schrieb:
> gibt es für Debian schon fertige Firewall Pakete, die dann einfach
> mit ein paar parametern zu konfigurieren sind, ohne das man iptables
> von Hand machen muss?
Was meinst Du nun? Komplette Firewallpakete oder einen Paketfilter?
Komplette Firewallpakete gibt es auch auf Debian-Basis, z.B. Gibraltar.
(siehe http://www.gibraltar.at/).
Zum Bauen eines Paketfilters auf Basis von iptables gibt es massig
"simple and basic" Skripte auf freshmeat.net. Zwei etwas umfangreichere
Kandidaten sind auch in Debian: shorewall und gshield (in Debian
testing).
Ich sehe da aber keinen Sinn drin. Diese Dinger sind meisten so
umfangreich und unübersichtlich, dann kann man sich auch direkt mit
iptables beschäftigten. Der Paketfilter ist heutzutage sowieso nur ein
kleiner und vergleichsweise simpler Bestandteil einer Firewall. Die
komplexeren und wirklichen Probleme finden auf Applikationsebene statt.
Du kannst es vergleichen mit einer Tür und einem Schloss. Sowas hat
jeder, alles andere wäre wohl eine Lachnummer. Aber man könnte Sie
meistens problemlos eintreten und der Fachmann vom Schlüsseldienst hat
das Ding auch in weniger als einer Minute auf. Fast niemand hat eine
atombombensichere Panzertür.
Ein einfacher Paketfilter macht das gleiche für Linux. Er sorgt dafür,
dass Du lokale Dienste aktiv haben kannst, diese aber von ausserhalb
nicht erreichbar sind. Sobald Du aber Dienste extern freischaltest,
bringt Dir der Paketfilter nichts, wenn die Dienste schlecht und
fehlerhaft konfiguriert werden. Und das ist das, wonach in der Regel
gesucht wird: falsch konfigurierte FTP-Server und offene Proxies oder
Socks Server. Da geht es aber mehr um Vandalismus und Missbrauch.
Wirklichen Hackern wird Deine Firewall kaum begegnen.
--
rainer@ellinger.de
Reply to: