On Thu, Jan 31, 2002 at 01:50:49AM +0100, Udo Müller wrote: > Hallo Jens, > > Wenn man auf eine Mail mit geändertem Subject antwortet, nimmt man > für üblich das alte Subject raus. Kann man so machen. Ob das üblich ist, war mir bisher nicht bekannt. Wo steht sowas? > > > Wir sprechen hier hoffentlich über Linux-Rechner, denn Windows-PC's > > > direkt ans Netz zu hängen, sollte man eh möglichst umgehen. > > GENAU DAS ist mein Ziel. Mehr nicht. > Ok. mein erstes ACK. Prima. > > > (... ausführliche Erläuterungen ...) ..geboten? Welche Dienste > > > lauschen auf ippp0? > > Ich weiss nicht was du mir damit jetzt sagen willst, denn das stand gar > > nicht zur Debatte. Mein Ziel ist, einigen Leuten einen möglichst simpel > > konfiguierbaren Linuxrechner als Ersatz für ein Wingate o.ä. > > hinzustellen. Und zwar so, daß das Teil benutzbar und einigermaßen > > dicht ist, ohne daß _ich_ alle naselang irgendwas umkonfigurieren muss, > > weil die es nicht können. > > Genau DAS will ich dir damit sagen. Hast du gelesen, was ich geschrieben > habe? Einigermaßen dicht ist wie Haus mit Alarmanlage, alle Fenster > dicht, nur die Haustür ist sperrangelweit offen. Verstehst du das? Geht > das in dein Köpfchen? Dann hast du aber eine ziemlich lasche Vorstellung von "einigermaßen dicht". "einigermaßen dicht" heisst für mich in dem Zusammenhang etwa "output default allow, input default reject" und evtl. Sachen wie einen HTTP-Proxy, der die gröbsten IE-Bugs (readme.eml & Co) filtert und einen MDA, der Outlook-Viren killt/zurückschickt. Wie z.B. das "procmail_security" rocmail-Skript oder sowas. "Sehr sicher" würde für mich u.a. bedeuten "output default reject", unterschiedliche Rules für forward und output, kein IP-Forwarding (nur Proxies), eine DMZ für die Server, kein Windows, etc - was schon alleine deshalb rausfällt, weil dort Netzwerk-Software läuft die weder proxyfähig ist, noch ohne Windows funktioniert, noch statische Ports alloziert. Natürlich kann man das noch weiter treiben. Daher "u.a.". > Es geht auch nicht darum, den anderen den Rechner zu konfigurieren, > sondern den anderen zu erklären, was überhaupt wichtig ist bei der ganzen > Sache. Verstanden? Genau das, was ich mache. Wenn ich denen aber vorher stundenlang die Bedienung einer Shell und das Erstellen von Skripten erklären müsste, weil es halt keine Produkte wie Firewall#1 oder Smoothwall gibt, wäre ich a) nach einer Woche noch nicht fertig und b) würden die meisten mir nach spätestens 10 Minuten gar nicht mehr zuhören. Genauso, wie ich mich wahrscheinlich verhalten würde, wenn mir ein Kollege/Freund das Auto reparieren/tunen soll und mich stundenlang volltextet, was es denn für verschiedene Schraubenschlüsselaufsätze gibt. Interessiert mich alles nicht, ich will bloss neue Dachgepäckträger / ein neues Schloss in die Fahrertür / ...! Ich finde das Verhalten also völlig verständlich. > > > Gut. Wenn du bis hierher alles so hast nachvollziehen können, > > > sprichst du dem zu, was Guido vertritt. > > Dann hat Guido sich aber _sehr_ unverständlich ausgedrückt. > Du hast ihn nur nicht verstehen wollen. Wir haben anscheinend aneinander vorbei geredet. Die Lösung, die er für die einzig wahre hält, ist in meinem Fall unerreichbar. Das scheint er nicht einsehen zu wollen. > > Smoothwall erfüllt diese Anforderungen. Guido ist anscheinend der > Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt! Oder Kennst du es? > konfiguriert Smoothwall das System so, daß Dienste nicht auf dem äußeren > Interface angeboten werden? Ja. Bei den Installationen, die ich bisher gemacht habe, gilt fürs "rote" Netzwerk (das äußere, meist mit dem Internet verbunden) "input default reject". Ergo, sind von aussen keinerlei Dienste erreichbar. Auch die Konfigurations-Oberfläche ist nur über das interne ("grüne") Interface erreichbar (und nur über https und natürlich mit Kennwort-Abfrage). Was allerdings geht (und auch so gedacht und so konfigurierBAR ist), ist die Einrichtung einer DMZ ("orange network"). Hosts die dort liegen, können durch Smoothwall von aussen durch Port-Forwarding erreicht werden, z.B. ein Webserver. Smoothwall selber ist von aussen komplett unsichtbar, bis auf 'ping'. Meinst du, sonst würde ich das Teil benutzen? > Nein? Dann stimmt das ja gar nicht, was du schreibst! Momentan stimmt das nicht was DU schreibst. > > daß man (wie ja oft den Fanatikern nachgesagt wird) erstmal Informatik > > studieren muss, um irgendwas "richtig" konfigurieren zu können. > Also ich studiere Informatik und ich hab da noch nicht einen Satz über > richtig konfigurierte Systeme gehört in einer der Vorlesungen. Ich wiederhole mich: > > ... wie ja oft den Fanatikern nachgesagt wird ... Also, noch mal ganz langsam: Das war bildhaft gemeint. Nicht verstanden? > > Ich sage, daß der "manuelle Weg" für viele einfach überflüssig is.. > ..er: $EDITOR, bash, Kernelkompilieren steht gar nicht zur Debatte. Es DOCH! Guido behauptet, das ist "der einzig wahre Weg". Ich behaupte, das ist manchmal überflüssig. DAS ist das EINZIGE, worin wir uns nicht einig waren. Leider hat Guido irgendwie immer wieder blind auf einem Punkt rumgeritten, dem ich eigentlich gar nicht widersprochen habe. > geht um die Konfiguration eines Systems! Um das sichermachen eines > Systems. Nicht um klickbare oder vorgefertigte Scripte. Ja, und wo ist jetzt der Unterschied zwischen dem Sichermachen eines Systems mit irgendeiner Oberfläche, und dem Sichermachen eines Systems durch Lernen von Skripten, Kernelkompilation, usw, usw usw, wenn in beiden Fällen jemand davor sitzt, der _netzwerktechnis_ das nötige Wissen hat? > > Firewallkonzepte lernen muss man immer noch, und das habe ich nie > > abgestritten. Nur das ganze überflüssige Geraffel "drumherum" wird > > einem abgenommen, und dass das gut sein KANN, scheint Guido nicht zu > > begreifen. > Ja, sicher wird einem das abgenommen, aber zudem auch Sicherheit > vorgegaukelt. Sicher ist nur ein System, welches _keine_ Dienste nach > außen hin anbietet, oder? ACK. Habe ich nie bestritten. Und? > > Ach. und wo genau habe ich die Nötigkeit des Erlenens von > > Netzwerk-Grundlagen usw. bestritten? > Nirgendwo, weil du nirgends darauf eingegangen bist. Weil das für mich selbstverständlich ist und seit jeher war, und daher gar nicht zur Debatte stand. Mann, wie schwer ist denn das zu verstehen? > Für dich zählt die Smoothwall. Vergiss es, ;) du verstehst das also auch nicht. Les das oben doch bitte noch mal. > > > Wozu brauch ich im Haus ne Alarmanlage, wenn das Haus keine Fenster > > Wozu brauchst du einen Safe, wenn deine Haustür doch abgeschlossen ist? > > Wozu schliesst du deine Garage ab und machst das Tor zu, wenn doch dein > Ja, aber wie du grad geschrieben hast, _ist_ die Haustür abgeschlossen. > Setzte ich Smotthwall ein, ist die Haustür offen. Verstanden? Woher willst du denn das wissen? Hast du ihn schon mal benutzt? ICH habe das. ICH weiss was bei dem Produkt offen ist und was nicht. Hör bitte auf, Unwahrheiten über Sachen zu verbreiten, von denen du keinerlei Ahnung hast. Bitte. > > Weil "errare humanum est", doppelt hält besser, und so weiter. > Wenn man sein System "Dienstfrei" gemacht hat, kann man dann noch mit > einer Firewall alles dichtmachen, aber nicht vorher. Verstanden? Man kann es auch vorher schon, das Ergebnis ist effektiv das gleiche. Das ist aber i.A. wenig sinnvoll. Es gibt (leider!) aber auch Programme, die sich gar nicht so konfigurieren lassen, nur auf einem Netzwerk zu horchen, bei denen ist das dann nicht möglich. Also: ACK. Und? > > Guido erwartet, daß man viel Kram lernt, und damit meine ich NICHT > > Netzwerkgrundlagen usw.), um sowas einrichten zu können. Das halte ich > > für falsch. Mehr nicht. > Tut mir jetzt leid mich wiederholen zu müssen, aber: Du hast es nicht > verstanden. Es geht bei Guido nicht um die Einrichtung einer manuelle > erstellten Firewall, sondern um ein sicher und wohl konfiguriertes > System. Verstanden? Ja, und? Habe ich dem jemals wiedersprochen? Das widerspricht keineswegs dem Einsatz eines _von_ _vornherein_ sicherem und wohl konfiguriertem System. Wie (zum Beispiel!) einer Firwall-Package wie Smoothwall, FW#1, oder sonstwas. Also? > > > > > Einfach ein Tool zu empfehlen halte ich fuer sehr sehr schlecht! > > > > Wie soll er denn sowas sonst abschalten, ohne irgendwelche Tools? > > > > vi ist auch ein Tool. > > > Es geht aber nicht um Tolls, sondern um Grundlagen. > > Dann sind wir uns ja einig. > Du sprichst aber _immer_ nur über Tools. Smoothwall _ist_ ein Tool. Richtig. Weil die Grundlagen nicht zur Debatte stehen/standen. Die muss man in _beiden_ Fällen lernen. Und nu? > > > tut er auch, aber aus dem Grund, daß er halt keinen Pappkarton als > > > Tür einbaut, sondern ne schöne Stahltür. > > Nicht alles, was hinkt, ist ein Vergleich. > Du _hast_ es nicht verstanden, aber ein paar Vergleiche fallenmir schon > noch ein. Was genau soll denn der Pappkarton in deinem Vergleich darstellen? > Guido verweigert die Lösung einer Firewall nicht komplett. Er > konfiguriert das System nur erst mal so, daß eigentlich eine Firewall > unsinnig ist, weil es nichts zu schützen gibt. Kein Dienst - Kein > Angriffsziel Noch mal, für alle, zum mitschreiben. Hinter diesem "Firewall" kommen Rechner, namentlich Windows-Rechner, die sich nicht so konfigurieren _lassen_! Und bevor jetzt der Fanatiker wieder zuschlägt und sagt "dann gehören die eben nicht ans Netz": In der idealen Traumwelt ist das völlig richtig, aber die Realität sieht wieder mal anders aus. Zusätzlich ist ein Gateway sowieso nötig, weil mehrere Rechner -> ein DSL Zugang (als Beispiel). Warum dann nicht gleich richtig? Ergo: Eine Firewall ist nötig. Wenns nur Linuxrechner wären, würde ich da nicht so einen grossen Bedarf sehen. Ist das denn wirklich so schwer? > Lohnt sich von deiner Seite überhaupt noch eine Mail? Weichst du > überhaupt von deiner Smoothwall ab? Und *noch* mal: Mir geht es nicht speziell um Smoothwall. Guido, und du oben auch, hat angefangen Smoothwall schlechtzumachen ohne ein einziges Mal auch nur die FAQ auf der Webseite gelesen zu haben. Ich finde es ziemlich albern, wenn man lauthals pauschal Sachen schlechtmacht, und dabei offensichtlich wird, daß man sie kein bisschen kennt. Daher habe ich das als Beispiel weiterverwendet. Von mir aus nehme Checkpoint FW#1 als Beispiel. Kostet mehrere tausend €. Das Ding hat auch eine klickbare Web-Oberfläche. Ist es deshalb automatisch schlecht? > Nein? Dann antworte _bitte_ nicht mehr. Diskussion bedeutet gegenseitige > Annäherung. Und die ist dann nicht gegeben. Die ist durchaus gegeben: Wir drei sind uns einig, daß man Netzwerkgrundlagen benötigt, um einen Firewall GLEICH WELCHER ART einzurichten. Richtig? Richtig. Die Unterschiede liegen woanders. -- mfg, Jens Benecke www.jensbenecke.de, www.hitchhikers.de, www.linuxfaq.de V: Epson Stylus Color 600, 1440dpi, inkl. 4F+4SW-Patronen V: 2x IBM 4.3GB UW-SCSI Festplatten, hdparm: 10-13MB/sec
Attachment:
pgpKxfwzvtAr6.pgp
Description: PGP signature