On Wed, Jul 25, 2001 at 02:13:48PM +0200, Guido Hennecke wrote: > Hallo, > > Wenn Du keine Dienste anbieten willst und keine TCP Syn Pakete von aussen > rein laesst, brauchst Du dich fuer TCP Dienste nicht weiter darum > kuemmern. Das schreib ich auch. Nur sollte eben die erste Massnahme sein, > Dienste, die man nicht anbieten will, erst garnicht anzubieten. ACK. Weitere Sicherheismassnahmen werden dadurch allerdings nicht überflüssig. > Dann noch dediziert irgendwelche Ports zu "sperren" ist Unsinn. Eben nicht. Du läßt ja auch deinen Safe nicht offen stehen, weil sowieso keiner deinen Haustürschlüssel hat. > > > > Ich verwende zur Zeit noch 2.2.18. Soweit ich weiß wurde bei 2.4 > > > > der Paketfilter verändert und verbessert. > > > Ich wuerde so pauschal nicht sagen, dass er verbessert wurde. > > Er hat deutlich mehr Features und deutlich weniger bekannte Probleme. > Was bringen dir die neuen Features von iptables Rate-limits. Zustandsbehaftete Filterregeln. Richtiges NAT (nicht nur IP Masq). Port-Forwarding an andere Rechner/IPs. Flexibleres Modulsystem (ipchains ist weiterhin komplett vorhanden, und zwar als sub-Modul von ipfilter!). Das fällt mir so spontan ein. Das kann in vielen Situationen sehr, sehr nützlich sein. Wie verhinderst du z.B. einen DoS? Ich würde z.B. ab einem bestimmten Limit von einer böse ausschauenden IP einfach für die nächsten YY min nur noch XX kb/sec oder ZZ Pakete/sec akzeptieren. Mit ipchains ist das m.W. nicht so ohne weiteres (i.e. wrapper-skripte, externe programme) möglich. Ach ja: ipfilter wird aktiv entwickelt. ipchains wird nur noch gepflegt. > und wirkt sich ein mehr an Code wirklich positiv auf die Sicherheit aus? > Nein! Du pauschalisierst. Darf ich dich zitieren: --------------------------------------------------------------------------- > Ausserdem ist so eine Pauschale Aussage einfach falsch. --------------------------------------------------------------------------- > > mich ist das ebenfalls eine Verbesserung. > In wie fern? Siehe oben. > > > Ich fuer meinen Teil werden keinen 2.4´er Kernel fuer Paketfilter > > > einsetzen. > > Das ist deine Sache. > Das steht auch so da. Dann ist ja gut. > > > Ausserdem ist so eine Pauschale Aussage einfach falsch. > > Du kannst natürlich auch sagen, er wurde komplett ersetzt, anstatt > > verbessert. Von mir aus. > Ich finde eine pauschale Aussage, iptables sei besser als ipchains falsch > bis gefaehrlich. Sie ist halt nich zu 100% richtig, sondern vielleicht nur zu 98%. Mir fällt zwar keiner ein, aber es gibt sicher noch Gründe, ipfilter nicht zu benutzen. Vielleicht nennst du mal ein paar konkrete. -- Jens Benecke http://www.hitchhikers.de/ - Die kostenlose Mitfahrzentrale für ganz Europa
Attachment:
pgp5Kwt1nUtaA.pgp
Description: PGP signature