Re: ipchains

To: debian-user-de@jfl.de
Subject: Re: ipchains
From: Guido Hennecke <g.hennecke@t-online.de>
Date: Mon, 30 Jul 2001 12:14:12 +0200
Message-id: <[🔎] E15RA4R-0001jv-00@debian.dyndns.org>
Mail-followup-to: debian-user-de@jfl.de
In-reply-to: <[🔎] 20010730071121.I11432@sylence.de>; from list@sylence.de on Mon, Jul 30, 2001 at 07:11:21AM +0200
References: <[🔎] 01072415575600.00284@workstation01> <[🔎] E15P43b-0007G6-00@debian.dyndns.org> <[🔎] 20010724194003.X8517@jensbenecke.de> <[🔎] E15PNYQ-0003ov-00@debian.dyndns.org> <[🔎] 20010725221125.T32006@jensbenecke.de> <[🔎] E15PWK3-00062c-00@debian.dyndns.org> <[🔎] 20010730071121.I11432@sylence.de>

Hallo Janto,

At 30.07.2001, Janto Trappe wrote:
> * Guido Hennecke <g.hennecke@t-online.de> [25-07-01 23:35]:
> > Aber weitere Filterregeln werden ueberfluessig. Kann ein Dienst nicht
> > initalisiert werden, brauche ich den nicht weiter durch Filterregeln
> > absichern. Du erhoest sonst nur die Komplexitaet und damit auch die
> > Gefahr, Fehler einzuschleppen.
> Bei einer ACCEPT Policy (ansonsten werden auch unbenutzte Ports immer
> geblockt) ist die Gefahr Fehler einzuschleppen sowieso sehr hoch.

Ich rede nicht von einer ACEPT Policy!

Wenn Du deine TCP Dienste nicht erreichbar machen willst, reicht es
voellig aus, TCP Syn Pakete zu rejecten, die rein kommen. Fertig. Alles
Andere erhoeht nur die Komplexitaet und damit die Moeglichkeit fuer
Fehler.

Und fuer TCP wird dann ein zustandsbasierter Filter voellig
ueberfluessig.

> > Der Feind der Sicherheit ist unnoetige Komplexitaet. KISS!
> ACK.

Eben.

> > > > Dann noch dediziert irgendwelche Ports zu "sperren" ist Unsinn.
> > > Eben nicht.
> > Eben doch!
> Nein. ;)

Dann erklaer mal bitte den Sinn.

> > > Zustandsbehaftete Filterregeln.
> > Bringen welchen Vorteil?
> 80 und 119 und nur in der Mittagspause. ;)

-v

> > Normalerweise will man aber kein NAT und auch kein Masquerading (was ja
> > nur eine Untergruppe von NAT darstellt).
> Warum wollte man kein Masquerading wollen?

Weil man damit eine der grundlegenden Funktionen von IP Netzen
sabotiert. Die Transparenz von Client zu Server und umgekehrt, weil es
in den meisten Fallen voellig unnuetz anstatt von Application Level
Gateways einsetzt etc.

> [ipchains modul fuer iptables]
> > Wenn ich mir beispielsweise nur die aktuellsten Probleme damit ansehe,
> > will ich das nicht auf Systemen, die der Sicherheit dienen. Und nochmal:
> ACK.
> > (http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00257.html)
> Das hat aber nichts mit iptables zu tun.

Sicher hat es da. Allerdings nur indirekt oder welchen Kernel setzt Du
gerade ein, wenn Du iptables willst?

Gruss, Guido
-- 
Man koennte doch heute keinen NT Rechner mehr aus dem Fenster schmeissen, 
ohne auf dem Gehweg jemanden zu treffen, der gerade ein SuSE Linux Paket 
unter dem Arm schleppt? (Detlef Bosau in de.comp.os.unix.networking)

Attachment: pgpx1peb2eaDK.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: ipchains
  - From: Janto Trappe <list@sylence.de>

References:
- [Debian] ipchains
  - From: Gerhard Engleder <engleder.debian@gmx.at>
- Re: [Debian] ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>
- Re: [Debian] ipchains
  - From: Jens Benecke <jens@jensbenecke.de>
- Re: [Debian] ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>
- Re: [Debian] ipchains
  - From: Jens Benecke <jens@jensbenecke.de>
- Re: [Debian] ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>
- Re: ipchains
  - From: Janto Trappe <list@sylence.de>

Prev by Date: Re: ipchains
Next by Date: Re: [Debian] exim und lbdb-fetchaddr
Previous by thread: Re: ipchains
Next by thread: Re: ipchains
Index(es):
- Date
- Thread