On Wed, Jan 30, 2002 at 12:10:24AM +0100, Guido Hennecke wrote: > At 29.01.2002, Jens Benecke wrote: > > On Tue, Jan 29, 2002 at 09:20:41PM +0100, Guido Hennecke wrote: > > > > Was _konkret_ missfällt dir an dem Teil? > > Die Frage steht noch. > Nein, ich habe sie soweit beantwortet, wie sich meine Ausagen darauf > bezogen. Dann formuliere bitte deutlicher. "dieses smoothwall Zeugs" ist eine spezifisch auf _DIESES_ Produkt bezogene Aussage, die den Anschein erweckt, du würdest das Ding kennen. Wenn du ihn nicht kennst, mach solche Aussagen nicht. Das ist irreführend. > Willst Du ssh nicht nach aussen anbieten, dann konfiguriere sshd richtig. Du hast das nicht verstanden. > Willst Du die Windows Kisten "verstecken" hast Du das bereits auch mit > NAT/PAT geschafft. Du hast das nicht verstanden. Ich will einen Router bzw. Firewall _statt_ einer Windowskiste haben. Wingate & Co haben jede Menge offensichtliche triviale exploits, die z.T. sogar schon mausbedienbar sind. Ein Linux-Paketfilter hat die wenigstens meines Wissens nicht. Ergo, ist der schon mal besser als eine Windowskiste. Deine Schwarzweiss-Ansicht "entweder perfekt oder gar nicht" ist eine schöne Theorie, aber leider völlig praxisfremd. Fast nie ist der Idealfall wirklich erreichbar. Gibst du immer gleich komplett auf, wenn es nicht perfekt geht? Hast du früher in der Schule Klausuren auch gar nicht erst abgegeben, wenn du dir nich 100% sicher warst, eine 1.0 zu bekommen? > Fuer die Windows Kisten ist wichtig, dass keine unnoetigen Dienste nach > aussen angeboten werden. Das erreicht man nicht mit irgendwelcher > Software sondern durch entsprechende Konfiguration. Du kennst Windows also auch nicht? Dir ist nicht bewusst, daß sowas bei Windows oft gar nicht konfiguierbar, viel weniger _kontrollierbar_, ist? > > Smoothwall erlaubt es einem genauso wie iptables, JEDEN Fetzen zu > > konfigurieren. > Und was bringt das dem Anfaenger? Und ist das ueberhaupt sinnvoll? Deiner Meinung nach ja anscheinend schon. > > Die User können also auch _damit_ lernen, wie ein Firewall > > funktioniert. > Die _User_ haben mit Firewalls nichts im Sinn. > Die _Admins_ (und das ist auch jemand, ob er will oder nicht, der einen Diese Trennung ist ein Idealfall und in vielen Fällen nicht Realität. Ich schlage vor, du bleibst in deiner idealen Traumwelt, wenn du damit nicht zurechtkommst. :) > > Was mich immer wieder abschreckt, Neulingen den "Manuell"-Ansatz > > vorzuwerfen, (und was die dann auch abschreckt) ist daß sie dann nicht > > nur iptables lernen müssen, sondern auch bash, Debian, vi & Co, und so > > weiter. > So ist das aber nun mal. Ob dir oder mir oder sonstjemandem das gefaellt > ist voellig irrelevant. Produkte von Cisco & Co kennst du also auch nicht? Man kann die Funktionen und die volle Komplexität eines Firewalls bzw. Paketfilters auch erlernen, OHNE vorher -zig andere Tools lernen zu müssen. Man kann solche Tools auch über eine überschaubare Oberfläche bedienen können. Wenn sie im Endeffekt das gleiche leisten, dann ist das für mich völlig OK. Auch bei Smoothwall muss man sich Gedanken machen, was man erreichen will, und muss sich Gedanken machen, was man dann wie filtert usw. Aber diese Funktionen werden einem _sofort_ angeboten und nicht erst nach dem Erlernen -zig anderer Tools. Das hättest du sofort bemerkt, wenn du dich auch nur 30 Sekunden auf der Webseite über das Produkt informiert hättest, das du hier so pauschal verurteilst. > Eine Firewall ist etwas, was nur jemand konfigurieren und administrieren > kann, der genau weiss was er da tut und der das auch verstanden hat. > Daran aendert auch keine Hipp Software etwas. Was bringt es denn nun genau einem Firewall-Administrator, wenn er vi und bash bedienen kann und Kernel kompilieren kann? Nichts. Richtig. > Penisverlaengerung. Lass die Polemik, und informier dich bitte vorher. > > > Einfach so, ohne das noetige Wissen, ist _jede_ "Firewall" scheisse. > > Aha. Du kennst also Smoothwall doch nicht. Denn Smoothwall ist längst > > nicht nur eine Firewall, jedenfalls nach "innen". > Was laberst Du nur fuer einen Unsinn? Du hast keine Ahnung von dem Produkt, über das du abziehst, und wenn jemand dich darauf hinweist, wirst du beleidigend. Deine Fassade bröckelt. > > In beiden Fällen fühlt er sich sicher, im ersten ist er damit > > allerdings näher an der Realität dran. > Endweder es ist sicher oder es ist es nicht. ROTFL! Jetzt hast du aber wirklich verloren. Seit wann ist Sicherheit was binäres? Seit wann ist Sicherheit überhaupt ein Zustand? Wie du hoffentlich(?) weisst, ist NICHTS "sicher". Rein gar nichts. > Der normale Smoothwall User will gar keine Dienste im boesen weiten > Internet anbieten. Woher willst du denn DAS wissen? > Hilf ihm, Genau das habe ich gemacht. Wo ist das Problem? > Einfach ein Tool zu empfehlen halte ich fuer sehr sehr schlecht! Wie soll er denn sowas sonst abschalten, ohne irgendwelche Tools? vi ist auch ein Tool. > > Ich erkläre denen was das Teil kann und was nicht, und warum es immer > > noch mehr kann als irgendwelche Windows-Desktop-Firewalls. > Es ist voellig irrelevant, was dieses Tool kann. Ist das System nicht > ordentlich konfiguriert, ist die beste Firewall Muell. Und was genau hat das jetzt mit unserem Problem zu tun? > > > Das Ende kannst Du dir selbst ausmahlen. > > Ich habe mit Smoothwall ein besseres Gewissen als ganz ohne oder mit > > ActiveFirewall-2002-Pro. > Ich habe mit sicher konfigurierten Rechner ohne Firewall ein gutes Die Alternative ist ein Windows-Rechner, der sich per definitionem nicht sicher konfigurieren LAESST. Das begreifst du nicht, oder willst du nicht? > Gewissen. Dieser ganze Firewall Hype kotzt mich an. Die meisten Menschen > brauchen das garnicht - im Gegenteil. Die meisten Menschen "brauchen" auch keinen Computer. > Bei den meisten Menschen wird eine Firewall nur zur unnoetigen Erhoehung > der Komplexitaet beitragen, auf dass sie endgueltig mit der > Administration und Sicherung ihrer Systeme ueberfordert sind. Dir ist wieder entfallen, daß es Systeme gibt, die sich ohne externe Hilfe nicht absichern LASSEN. Was meinst du, warum Microsoft vor ihren microsoft.com Webservern einen reverse Proxy von Novell stehen hat? > > Das wäre, wie schon gesagt, oft ohne mich installiert worden, und es > > wäre auch irgendwann installiert worden, wenn sie mit einer manuellen > > Installation die Geduld verlieren. > Ich kann diesen ganzen Mist nicht mehr hoeren. Leute, kuemmert euch um > die korrekte und sichere Konfiguiration eurer Syteme und lasst euch nicht > diesen Firewall Scheiss andrehen! Informier dich bitte genauer bevor du irgendwelche Clichées und pauschale Polemikshows abziehst. Danke. > > > Bitte siehe den Thread zu iptables und Anfaengern. > > schon gelesen. Wie gesagt, prinzipielles ACK, aber oft nicht das > > kleinste Übel. > Man faengt mit der Konfiguration an und nicht mit Toolz! Was soll ich denn konfigurieren, wenn ich noch nichts zu konfigurieren habe? > Sind wir hier in debian-user-script-kiddies? ?? Guido, du passt richtig gut zu Debian, vor allem in die Welt der fanatischen Policy-Perfektionisten. Ist etwas nicht absolut 100% perfekt zu lösen, lassen wir es halt ganz - egal ob es 98% der Anwender die Arbeit erleichtern würde! Eine Lösung komplett zu verweigern, nur weil sie nicht perfekt ist, ist eine schöne Theorie. Nur kommt man damit leider im realen Leben nicht weiter. -- mfg, Jens Benecke www.jensbenecke.de, www.hitchhikers.de, www.linuxfaq.de V: Epson Stylus Color 600, 1440dpi, inkl. 4F+4SW-Patronen V: 2x IBM 4.3GB UW-SCSI Festplatten, hdparm: 10-13MB/sec
Attachment:
pgpZbZAbclUIc.pgp
Description: PGP signature