[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian] ipchains



On Wed, Jul 25, 2001 at 02:13:48PM +0200, Guido Hennecke wrote:
> Hallo,
> 
> Wenn Du keine Dienste anbieten willst und keine TCP Syn Pakete von aussen
> rein laesst, brauchst Du dich fuer TCP Dienste nicht weiter darum
> kuemmern. Das schreib ich auch. Nur sollte eben die erste Massnahme sein,
> Dienste, die man nicht anbieten will, erst garnicht anzubieten.

ACK. Weitere Sicherheismassnahmen werden dadurch allerdings nicht
überflüssig.
 
> Dann noch dediziert irgendwelche Ports zu "sperren" ist Unsinn.

Eben nicht.

Du läßt ja auch deinen Safe nicht offen stehen, weil sowieso keiner deinen
Haustürschlüssel hat.
 
> > > > Ich verwende zur Zeit noch 2.2.18. Soweit ich weiß wurde bei 2.4
> > > > der Paketfilter verändert und verbessert.
> > > Ich wuerde so pauschal nicht sagen, dass er verbessert wurde. 
> > Er hat deutlich mehr Features und deutlich weniger bekannte Probleme.
> Was bringen dir die neuen Features von iptables 

Rate-limits. Zustandsbehaftete Filterregeln. Richtiges NAT (nicht nur IP
Masq). Port-Forwarding an andere Rechner/IPs. Flexibleres Modulsystem
(ipchains ist weiterhin komplett vorhanden, und zwar als sub-Modul von
ipfilter!).

Das fällt mir so spontan ein. Das kann in vielen Situationen sehr, sehr
nützlich sein. Wie verhinderst du z.B. einen DoS? Ich würde z.B. ab einem
bestimmten Limit von einer böse ausschauenden IP einfach für die nächsten
YY min nur noch XX kb/sec oder ZZ Pakete/sec akzeptieren.

Mit ipchains ist das m.W. nicht so ohne weiteres (i.e. wrapper-skripte,
externe programme) möglich.

Ach ja: ipfilter wird aktiv entwickelt. ipchains wird nur noch gepflegt.

> und wirkt sich ein mehr an Code wirklich positiv auf die Sicherheit aus?
> Nein!

Du pauschalisierst. Darf ich dich zitieren:
---------------------------------------------------------------------------
> Ausserdem ist so eine Pauschale Aussage einfach falsch.
---------------------------------------------------------------------------
 
> > mich ist das ebenfalls eine Verbesserung.
> In wie fern?

Siehe oben.
 
> > > Ich fuer meinen Teil werden keinen 2.4´er Kernel fuer Paketfilter
> > > einsetzen.  
> > Das ist deine Sache.
> Das steht auch so da.

Dann ist ja gut.
 
> > > Ausserdem ist so eine Pauschale Aussage einfach falsch.
> > Du kannst natürlich auch sagen, er wurde komplett ersetzt, anstatt
> > verbessert. Von mir aus.
> Ich finde eine pauschale Aussage, iptables sei besser als ipchains falsch
> bis gefaehrlich.

Sie ist halt nich zu 100% richtig, sondern vielleicht nur zu 98%. Mir fällt
zwar keiner ein, aber es gibt sicher noch Gründe, ipfilter nicht zu
benutzen. Vielleicht nennst du mal ein paar konkrete.


-- 
Jens Benecke
http://www.hitchhikers.de/ - Die kostenlose Mitfahrzentrale für ganz Europa

Attachment: pgpREdGsonQ5M.pgp
Description: PGP signature


Reply to: