[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall oder gesichertes System



Hallo Jens,

* Jens Benecke <jens@jensbenecke.de> [01-02-02 23:36]:
> On Thu, Jan 31, 2002 at 10:28:29PM +0100, Udo Müller wrote:
>  
> > Wozu, das erkläre mir mal, mußt du jemandem die Shell und das Erstellen
> > von Skripten erklären, wenn derjenige nur die Dienste auf die inneren
> > Interfaces drehen soll?
> 
> Wo könnte ich das denn für die -zig Dienste, die potenziell laufen sollen,
> einstellen? In /etc. In (potenziell) -zig verschiedenen
> Konfigurationsdateien. Da fängts schon an.

Du benutzt doch auch Debian, oder? Ist dir schon aufgefallen, daß
die Verzeichnisse in /etc wie die Paketnamen heißen?

> > > > konfiguriert Smoothwall das System so, daß Dienste nicht auf dem
> > > > äußeren Interface angeboten werden? 
> > > Ja. Bei den Installationen, die ich bisher gemacht habe, gilt fü..
> > Wilst du nicht verstehen oder kann dein Hirn das nicht begreifen?
> > Smoothwall ändert NICHT die httpd.conf, 
> 
> Woher willst du denn DAS wissen, wenn du das Teil noch nie gesehen hast?

...
 
> > wenn du möchtest, daß der Apache nur dem LAN zur Verfügung steht. Etc...
> > Lauscht der Dienst nach Smoothwall immer noch auf dem roten Interface?
> 
> "Wilst du nicht verstehen oder kann dein Hirn das nicht begreifen?"
> Smoothwall ist ein EXTRA RECHNER. auf dem läuft GAR NICHTS ausser dem
> Konfigtool, einem Paketfilter, einem DNS Proxy und einem squid (optional).

Und Smoothwall, auf diesem extra-Rechner, auf dem keine Dienste
laufen, konfigiert diese nicht vorhandenen Dienste dann richtig?

Wir reden abernicht von einem Extra-Rechner, sondern von einem, auf
dem Dienste laufen...

> Du hättest wenigstens mal die Webseite besuchen sollen.

Wozu?

> > > > Nein? Dann stimmt das ja gar nicht, was du schreibst!
> > > Momentan stimmt das nicht was DU schreibst.
> > Du solltest richtig und aufmerksam lesen. Und anderer Leute meiner
> > akzeptieren. Nicht als deine Mainung, aber zumindest, das andere so eine
> > Meinung haben.
> 
> Momentan stimmt das nicht, was du da oben geschrieben hast. Wirklich.

Die Meinung anderer zu akzeptieren, ist nicht falsch...
 
> > Du bist sowas von begriffsstutzig. 
> 
> Dir geht es um Konfiguration / Sichermachen. Ich frage dich, was ist der
> Unterschied zwischen zwei möglichen Methoden, dieses Ziel zu erreichen.
> Warum weichst du aus und wirst wieder gleich beleidigend?

Das ist keine Beleidigung, sondern eine Feststellung.

> > Wie alt bist du eigentlich? 
> 
> 24, und du?

27.

> > Bist du Einzelkind? Sorry, dass ich das Frage, aber ich muß das mal
> 
> Ich habe drei Geschwister, und bin/war Jugendleiter, bzw. Gruppenbetreuer.
> Jetzt aus Zeitmangel wegen Uni nicht mehr. Und du? 

Ne, Schwester.

> Noch weitere persönliche Fragen, mit denen du anscheinend hoffst mich
> irgendwie blosstellen zu können?

Es geht nicht ums bloßstellen, sondern damit ich dich besser
einschätzen lerne. Bisher kamst du mir vor wie ein 15-jähriger, der
mitten in der Pubertät steckt. Aber da sollterst du wohl schon raus
sein.

> > Du hast es aber auch nie be"ja"ht, oder? Du reitest auf Kernelkomplieren,
> > bash-Programmierung, Skripte schreiben rum. 
> 
> Ja. Dir geht es ja schliesslich um Konfiguration, wie du ständig betonst.
> Zitat 20 Zeilen weiter oben von dir:
> ---------------------------------------------------------------------------
> > > > geht um die Konfiguration eines Systems! Um das sichermachen eines
> > > > Systems. Nicht um klickbare oder vorgefertigte Scripte.
> ---------------------------------------------------------------------------
> 
> Dir geht es demnach "nicht um vorgefertigte Skripte": Das beinhaltet
> manuelle Arbeit, wie z.B.  die von mir genannte: Skripte schreiben, Krempel
> kompilieren, usw.

Siehe meine obige Feststellung.

> > Weißt du eigentlich, wer diesen Kram ins Spiel gebracht hat?
> 
> Ja. Du. Siehe oben.

Eben nicht. Damit bist du angefangen. Sonst hätte ich das bestimmt
nicht gefragt. Aber das ist auch das Problem: Du denkst dir mit der
Zeit Sachen dazu, die so nicht waren.

> > Weißt du eigentlich, daß es überhaupt nicht darum geht?
> 
> Warum wechselst du eigentlich so oft das Thema? ;-)

Warum zitierst du so scheisse? ;-)

> > > Weil das für mich selbstverständlich ist und seit jeher war, und daher
> > > gar nicht zur Debatte stand. Mann, wie schwer ist denn das zu
> > Was für dich selbstverständlich ist, weiß ich nicht, wenn du dich nicht
> > in der Richtung mitteilst. Wie soll der Blinde von den Lippen des Tauben
> > ablesen...
> 
> Indem er zuhört.

Und was hört der Blinde von den gezigten Worten des Tauben? Du
solltest aufmerksam lesen.

> > > > erstellten Firewall, sondern um ein sicher und wohl konfiguriertes
> > > > System. Verstanden?
> 
> Es geht also doch um Konfiguration?

Da hab ich die ganze Zeit drüber gesprochen. Bevor du jetzt mit
"Nein" antowortest, zitiere mich, wo ich gesagt hab, daß es nicht
um Konfiguration geht, ok?

> > > Ja, und? Habe ich dem jemals wiedersprochen? Das widerspricht keineswegs
> > > dem Einsatz eines _von_ _vornherein_ sicherem und wohl konfiguriertem
> > > System. Wie (zum Beispiel!) einer Firwall-Package wie Smoothwall, FW#1,
> > > oder sonstwas.
> > Eine Firewall ist etwas anderes as ein Paketfilter!
> 
> IMHO: Firewall \supset Paketfilter

Ack.

> Nicht "was anderes".

Und somit wohl etwas anderes. Oder ist Paketfilter = Firewall?

> > > Was genau soll denn der Pappkarton in deinem Vergleich darstellen?
> > Sorry, aber jetzt wird mir mit erschrender Gewißheit klar, was ich hier
> 
> Sorry, ich vergass, daß ich mit jemandem rede, der bildhafte Vergleiche
> zwar ständig selber bringt, aber nicht begreifen kann (erinnere den
> Vergleich mit Informatik). Also, noch mal deutlicher und wörtlicher:
> 
> Welchen Teil soll die Tür darstellen, die du als Pappkarton modellierst?
> Die Tür ist auch nur eine Metapher.

Ein Zutritt zum System. Jetzt gefallen?

> > (Beleidigungen snipped)

Welche Beleidigungen???

> > Gerafft? Nein? Dachte ich mir.
> 
> Nicht arrogant werden, das kommt idR. nicht gut an.

Ich bin noch nie arrogant geworden. Wüßte nicht warum. Und deine
Antowrt auf meine Frage? Die bist du umgangen, indem du ablenkst.

> > > Noch mal, für alle, zum mitschreiben. Hinter diesem "Firewall" kommen
> > > Rechner, namentlich Windows-Rechner, die sich nicht so konfigurieren
> > > _lassen_! 
> > Diese Rechner können aber auch nicht direkt Dienste im Netz anbieten! 
> 
> Wenn, dann _wegen_ dem IPMasq. Daher reicht das Konfigurieren der Clients
> _nicht_ (selbst wenn es möglich wäre): es muss eine _zusätzliche_
> Schicht/Rechner dazwischen.  Klar jetzt?

Dann erklär mir mal, wie ich von Internet direkt auf den Windows-PC
zur smb-Freigabe komme! Via IPMasq?

> > Werden in deiner Realität alle Dienste, die im LAN laufen durch
> > Portforwarding nach außen geroutet? 
> 
> Du hast keinen Schimmer, was man mit etwas Java/ActiveX und einem nicht
> gepatchten IE, oder Outlook, oder einem Word-Dokument o.ä. alles für
> Scheisse treiben kann. Dafür reicht IPMasq bei weitem nicht aus.

Mit diesem Kram kann der heimische Rechner Kontakt zu einem Rechner
im Internet aufnehmen, aber keine Dienste auf dem
www-Zugangsrechner anbieten.

> > > > Lohnt sich von deiner Seite überhaupt noch eine Mail? Weichst du
> > > > überhaupt von deiner Smoothwall ab? 
> > > Von mir aus nehme Checkpoint FW#1 als Beispiel. Kostet mehrere tausend
> > > €.  Das Ding hat auch eine klickbare Web-Oberfläche. Ist es deshalb
> > > automatisch schlecht?
> > Ich meckere doch nnicht gegen $FIREWALL. 
> 
> D.h. du nimmst u.a. diese (immerhin falsche) Behauptung zurück?:
> ---------------------------------------------------------------------------
> > > > Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt!
> ---------------------------------------------------------------------------

Wozu? gib die Behauptung doch mal im Kontext wieder. Wenn ich dich
nur teilweise zitieren würde, dann kämen da nur Beleidigungen und
Beschimpfungen raus. Kommt nur drauf an, welche Buchstaben ich aus
welchen Worten verwende, oder?

> > Ich rede über die Konfiguration von Diensten... 
> 
> Jetzt doch wieder? ;)

Du hast es nicht verstanden.

Gruss Udo

-- 
ComputerService Müller |  You want my PGP-Key?  |     Key: 0xAD0EEC22
Kaspersweg 11a         | mail  -s "get pgp-key" |  Tel: 0441-36167578
26131 Oldenburg        | Schon fit für € und ¢? | Mobil: 0162-4365411
     Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17

Attachment: pgpUvBYDeF0gQ.pgp
Description: PGP signature


Reply to: