Hallo Janto, At 30.07.2001, Janto Trappe wrote: > * Guido Hennecke <g.hennecke@t-online.de> [25-07-01 14:13]: [...] > > Wenn Du keine Dienste anbieten willst und keine TCP Syn Pakete von > > aussen rein laesst, brauchst Du dich fuer TCP Dienste nicht weiter darum > > kuemmern. Das schreib ich auch. Nur sollte eben die erste Massnahme > > sein, Dienste, die man nicht anbieten will, erst garnicht anzubieten. > > > > Dann noch dediziert irgendwelche Ports zu "sperren" ist Unsinn. > Das ist (fast) immer unsinn. Normalerweise hat man eine DENY oder > REJECT Policy und erlaubt nur gewuenschte Verbindungen. Damit werden > auch Ports, auf denen kein Dienst laeuft, geblockt. Ports blocken, klingt schon so ....aehh...doof ;-) Nein, es geht doch darum, den Verkehr zu regeln. Warum sollte man TCP Pakete ohne gesetztes Syn Flag blocken? > > So, welche bekannten Probleme hast Du denn bei ipchains, die die > > Sicherheit deiner Paketfilter negativ beeinflussen? > Z.B. dass man das Logging nicht limitieren kann. Das Logging verwendet man nur sehr geziehlt und meist nur zum Debuggen. > > Was bringen dir die neuen Features von iptables und wirkt sich ein > Es gibt schon ein paar nette Sachen aber ich verwenden iptables auch > noch nicht. Die Frage konnte mir noch niemand wirklich beantworten. > > Ich finde eine pauschale Aussage, iptables sei besser als ipchains > > falsch bis gefaehrlich. > Umgekehrt ist aber IMO nicht anders. (Nein, das hast Du nicht > so gesagt.) Eben. Es geht mir nur darum, dass immer mal wieder jemand pauschal behauptet, iptables sein sicherer, besser, bunter und das ist nunmal so pauschal schlicht falsch. Gruss, Guido -- Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
Attachment:
pgpGrh5LDfIHa.pgp
Description: PGP signature