Hallo Guido, * Guido Hennecke <g.hennecke@t-online.de> [25-07-01 14:13]: > At 24.07.2001, Jens Benecke wrote: > > On Tue, Jul 24, 2001 at 05:24:39PM +0200, Guido Hennecke wrote: > [...] > > > Viel mehr braucht es dann normalerweise eigentlich nicht. > > Dienste, die intern angeboten werden sollen und extern nicht, _trotzdem_ > > durch einen Filter zu sichern ist nicht dumm. Doppelt hält besser. > > Wenn Du keine Dienste anbieten willst und keine TCP Syn Pakete von > aussen rein laesst, brauchst Du dich fuer TCP Dienste nicht weiter darum > kuemmern. Das schreib ich auch. Nur sollte eben die erste Massnahme > sein, Dienste, die man nicht anbieten will, erst garnicht anzubieten. > > Dann noch dediziert irgendwelche Ports zu "sperren" ist Unsinn. Das ist (fast) immer unsinn. Normalerweise hat man eine DENY oder REJECT Policy und erlaubt nur gewuenschte Verbindungen. Damit werden auch Ports, auf denen kein Dienst laeuft, geblockt. > So, welche bekannten Probleme hast Du denn bei ipchains, die die > Sicherheit deiner Paketfilter negativ beeinflussen? Z.B. dass man das Logging nicht limitieren kann. > Was bringen dir die neuen Features von iptables und wirkt sich ein Es gibt schon ein paar nette Sachen aber ich verwenden iptables auch noch nicht. > Ich finde eine pauschale Aussage, iptables sei besser als ipchains > falsch bis gefaehrlich. Umgekehrt ist aber IMO nicht anders. (Nein, das hast Du nicht so gesagt.) Gruss Janto -- -lies ein Buch, z.B. den Schneier. -benutz eine Suchmachine, es gibt zum Thema auch viel im Netz -Du solltest vielleicht auch noch andere Biere anbieten und es haengt auch von der Menge der Verbraucher ab ob 128 Bit reichen. (C.L. in d.o.c)
Attachment:
pgpPJViFcD4DE.pgp
Description: PGP signature