Hallo Jens,
Wenn man auf eine Mail mit geändertem Subject antwortet, nimmt man
für üblich das alte Subject raus.
* Jens Benecke <jens@jensbenecke.de> [31-01-02 00:56]:
> On Wed, Jan 30, 2002 at 06:05:20PM +0100, Udo Müller wrote:
> > * Jens Benecke <jens@jensbenecke.de> [30-01-02 17:13]:
> > > On Wed, Jan 30, 2002 at 12:10:24AM +0100, Guido Hennecke wrote:
> > >
> > > > Willst Du ssh nicht nach aussen anbieten, dann konfiguriere sshd richtig.
> > > Du hast das nicht verstanden.
> > Doch, hat er: Die Frage ist doch: Wofür brauche ich eine Firewall?
>
> Ich habe nirgendwo gesagt, daß ich sshd nicht anbieten will. Ich habe genau
> das Gegenteil gesagt. Das hat Guido offensichtlich nicht begriffen.
Er hat auch nicht von dir persönlich gesprochen, aber lassen wir
das jetzt.
> > Wir sprechen hier hoffentlich über Linux-Rechner, denn Windows-PC's
> > direkt ans Netz zu hängen, sollte man eh möglichst umgehen.
>
> GENAU DAS ist mein Ziel. Mehr nicht.
Ok. mein erstes ACK.
> > (... ausführliche Erläuterungen ...)
> > ..geboten? Welche Dienste lauschen auf ippp0?
>
> Ich weiss nicht was du mir damit jetzt sagen willst, denn das stand gar
> nicht zur Debatte. Mein Ziel ist, einigen Leuten einen möglichst simpel
> konfiguierbaren Linuxrechner als Ersatz für ein Wingate o.ä. hinzustellen.
> Und zwar so, daß das Teil benutzbar und einigermaßen dicht ist, ohne daß
> _ich_ alle naselang irgendwas umkonfigurieren muss, weil die es nicht
> können.
Genau DAS will ich dir damit sagen. Hast du gelesen, was ich
geschrieben habe? Einigermaßen dicht ist wie Haus mit Alarmanlage,
alle Fenster dicht, nur die Haustür ist sperrangelweit offen.
Verstehst du das? Geht das in dein Köpfchen?
Es geht auch nicht darum, den anderen den Rechner zu konfigurieren,
sondern den anderen zu erklären, was überhaupt wichtig ist bei der
ganzen Sache. Verstanden?
> > Gut. Wenn du bis hierher alles so hast nachvollziehen können,
> > sprichst du dem zu, was Guido vertritt.
>
> Dann hat Guido sich aber _sehr_ unverständlich ausgedrückt.
Du hast ihn nur nicht verstehen wollen.
> Smoothwall erfüllt diese Anforderungen. Guido ist anscheinend der Ansicht,
Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt!
Oder konfiguriert Smoothwall das System so, daß Dienste nicht auf
dem äußeren Interface angeboten werden? Nein? Dann stimmt das ja
gar nicht, was du schreibst!
> daß man (wie ja oft den Fanatikern nachgesagt wird) erstmal Informatik
> studieren muss, um irgendwas "richtig" konfigurieren zu können.
Also ich studiere Informatik und ich hab da noch nicht einen Satz
über richtig konfigurierte Systeme gehört in einer der Vorlesungen.
Sprich also über Sachen, die du kennst, aber _richtig_ kennst.
> Ich sage, daß der "manuelle Weg" für viele einfach überflüssig ist. Wenn
> man eine übersichtliche Oberfläche (egal welcher Art, kann natürlich auch
> textbasiert sein) hat und damit genau die gleichen Rules einstellen kann
> wie mit einem Skript, ist das Lernen von $EDITOR, bash, Kernelkompilieren
> usw. völlig überflüssig.
Aber: $EDITOR, bash, Kernelkompilieren steht gar nicht zur Debatte.
Es geht um die Konfiguration eines Systems! Um das sichermachen
eines Systems. Nicht um klickbare oder vorgefertigte Scripte.
> Firewallkonzepte lernen muss man immer noch, und das habe ich nie
> abgestritten. Nur das ganze überflüssige Geraffel "drumherum" wird einem
> abgenommen, und dass das gut sein KANN, scheint Guido nicht zu begreifen.
Ja, sicher wird einem das abgenommen, aber zudem auch Sicherheit
vorgegaukelt. Sicher ist nur ein System, welches _keine_ Dienste
nach außen hin anbietet, oder?
> Als ich dieses Argument gebracht habe, ist Guido mal wieder zum arroganten
> Grosskotz geworden. Vielleicht weil er kein Gegenargument weiss, aber das
> nicht zugeben kann/will? Ich weiss es nicht.
Wie war das noch mit den Beleidigungen? Glashaus?
> > Du hast das nicht verstanden.
>
> Och, komm. Begib dich nicht auf den gleichen Level wie die Diskussion mit
> Guido.
Tue ich auch nicht. Ich bin extra zu dir herabgestiegen. Bei Guido
brauch ich das nicht.
> > > Man kann die Funktionen und die volle Komplexität eines Firewalls bzw.
> > > Paketfilters auch erlernen, OHNE vorher -zig andere Tools lernen zu
> > > müssen. Man kann solche Tools auch über eine überschaubare Oberfläche
> > > bedienen können. Wenn sie im Endeffekt das gleiche leisten, dann ist
> > > das für mich völlig OK.
> > Es geht auch nicht um Tools, sondern um Grundlagen!
>
> Ach. und wo genau habe ich die Nötigkeit des Erlenens von
> Netzwerk-Grundlagen usw. bestritten?
Nirgendwo, weil du nirgends darauf eingegangen bist. Für dich zählt
die Smoothwall.
> > Wozu brauch ich im Haus ne Alarmanlage, wenn das Haus keine Fenster und
> > Türen hat?
>
> Wozu brauchst du einen Safe, wenn deine Haustür doch abgeschlossen ist?
> Wozu schliesst du deine Garage ab und machst das Tor zu, wenn doch dein
> Auto abgeschlossen ist?
Ja, aber wie du grad geschrieben hast, _ist_ die Haustür
abgeschlossen. Setzte ich Smotthwall ein, ist die Haustür offen.
Verstanden?
> Weil "errare humanum est", doppelt hält besser, und so weiter.
Wenn man sein System "Dienstfrei" gemacht hat, kann man dann noch
mit einer Firewall alles dichtmachen, aber nicht vorher.
Verstanden?
> > > Auch bei Smoothwall muss man sich Gedanken machen, was man erreichen
> > > will, und muss sich Gedanken machen, was man dann wie filtert usw. Aber
> > > diese Funktionen werden einem _sofort_ angeboten und nicht erst nach
> > > dem Erlernen -zig anderer Tools.
> > Du hast das nicht verstanden.
>
> Tu mir bitte einen Gefallen und werd nicht genauso kindisch wie Guido.
>
> Guido erwartet, daß man viel Kram lernt, und damit meine ich NICHT
> Netzwerkgrundlagen usw.), um sowas einrichten zu können. Das halte ich für
> falsch. Mehr nicht.
Tut mir jetzt leid mich wiederholen zu müssen, aber: Du hast es
nicht verstanden. Es geht bei Guido nicht um die Einrichtung einer
manuelle erstellten Firewall, sondern um ein sicher und wohl
konfiguriertes System. Verstanden?
> > > Was bringt es denn nun genau einem Firewall-Administrator, wenn er vi und
> > > bash bedienen kann und Kernel kompilieren kann?
>
> Also, was bringt es?
>
> Wenn es nach Guido geht ist das ja scheinbar notwendig.
Du _hast_ Guido nicht verstanden. Wie oft soll ich es dir noch
sagen? Ne extra Mail mit tausendmal: Du hast es nicht verstanden?
> Wo genau habe ich mich nicht vorher über Smoothwall informiert?
Du magst dich vllt. über Smoothwall informiert, aber anscheinend
nicht darüber, wie man sein System richtig und sicher konfiguriert.
> > > Du hast keine Ahnung von dem Produkt, über das du abziehst, und wenn
> > > jemand dich darauf hinweist, wirst du beleidigend. Deine Fassade
> > > bröckelt.
> > Du hast das nicht verstanden.
>
> Guido ist auch diesmal nicht zu verstehen. Vor allem verstehe ich nicht,
> warum er bei jedem zweiten Argument nicht kontert, sondern beleidigt.
Schau mal in diese Mail, wie oft du beleidigt hast. Auge um Auge?
du schreibst, Guido sei auf tiefem Niveau. Wie tief bist du jetzt
da drunter?
> > > > Hilf ihm,
> > > Genau das habe ich gemacht. Wo ist das Problem?
> > Weil du ihm nicht an der richtigen Stelle hilfst. Ist das so schwer zu
> > kapieren?
>
> Die "richtige" Stelle ist nicht erreichbar. Ich gehe da so nah ran wie es
> möglich ist. Wenn er damit klar kommt und es gut funktioniert, kann man
> evtl. _schrittweise_ an was besseres rankommen. Wenn man ihm gleich sowas
> vorwirft, fühlt er sich gegen die Wand gefahren und geht zurück zu Windows.
> DAS will ich vermeiden.
Das kannst du aber nur richig vermeiden, indem du ihm zeigst, wo
die Schwachstellen sind. Einfach ein weißes Tuch über eine Pfütze
werfen, kann jeder, aber das bringt nichts.
> Ist das wirklich so schwer zu begreifen?
> Vielleicht hat das Wahlfach Pädagogik damals bei mir doch Spuren
> hinterlassen?
Keine Ahnung, aber vllt. in der hinsicht, dass du andere Meinungen
schlecht annehmen kannst.
> > > > Einfach ein Tool zu empfehlen halte ich fuer sehr sehr schlecht!
> > > Wie soll er denn sowas sonst abschalten, ohne irgendwelche Tools? vi
> > > ist auch ein Tool.
> > Es geht aber nicht um Tolls, sondern um Grundlagen.
>
> Dann sind wir uns ja einig.
Du sprichst aber _immer_ nur über Tools. Smoothwall _ist_ ein Tool.
> > > Die Alternative ist ein Windows-Rechner, der sich per definitionem nicht
> > > sicher konfigurieren LAESST. Das begreifst du nicht, oder willst du nicht?
> > Wir sprechen hier aber nicht über Windows-Rechner, sondern über
> > Linux-Rechner, die es zu konfigurieren gilt. Geschnallt?
>
> Wir sprechen über Linuxrechner, die einen Windowsrechner ersetzen sollen.
> Und?
Genau da ist der Punkt. Lies dir bitte meine letzte Mail nochmal
durch.
> > > Guido, du passt richtig gut zu Debian, vor allem in die Welt der
> > > fanatischen Policy-Perfektionisten. Ist etwas nicht absolut 100%
> > > perfekt zu lösen, lassen wir es halt ganz - egal ob es 98% der Anwender
> > > die Arbeit erleichtern würde!
> > tut er auch, aber aus dem Grund, daß er halt keinen Pappkarton als Tür
> > einbaut, sondern ne schöne Stahltür.
>
> Nicht alles, was hinkt, ist ein Vergleich.
Du _hast_ es nicht verstanden, aber ein paar Vergleiche fallenmir
schon noch ein.
> > > Eine Lösung komplett zu verweigern, nur weil sie nicht perfekt ist, ist
> > > eine schöne Theorie. Nur kommt man damit leider im realen Leben nicht
> > > weiter.
> > Du hast das nicht verstanden.
>
> Schade, gerade die Kernargumente von mir, gegen die ich bisher noch gar
> nichts stichhaltiges gehört habe, werden immer mit irgendwas kindischem
> oder albernem kommentiert und überhaupt nicht gekontert oder kritisiert.
> Da würde es doch erst interessant werden.
Ist dir eigentlich aufgefallen, wer diesen kindischen Spruch zuerst
gebracht hat?
Guido verweigert die Lösung einer Firewall nicht komplett. Er
konfiguriert das System nur erst mal so, daß eigentlich eine
Firewall unsinnig ist, weil es nichts zu schützen gibt.
Kein Dienst - Kein Angriffsziel
Lohnt sich von deiner Seite überhaupt noch eine Mail? Weichst du
überhaupt von deiner Smoothwall ab? Nein? Dann antworte _bitte_
nicht mehr. Diskussion bedeutet gegenseitige Annäherung. Und die
ist dann nicht gegeben.
Gruss Udo
--
ComputerService Müller | You want my PGP-Key? | Key: 0xAD0EEC22
Kaspersweg 11a | mail -s "get pgp-key" | Tel: 0441-36167578
26131 Oldenburg | Schon fit für € und ¢? | Mobil: 0162-4365411
Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17
Attachment:
pgpPIe43ZKMmF.pgp
Description: PGP signature