[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [debian] zwangweises Trennen von DSL?



Joerg Desch <jd@voelker-web.de> writes:

> Klar. Ich werde mit testhalber mal den 2.4.18 installieren. Reicht es
> eigentlich das reine kernel-image als .deb zu installieren, oder muß ich
> irgendwelche Pakete noch von Hand aktualisieren?

Das müßte normalerweise auch so gehen, falls Dein installiertes System
nicht steinalt ist. Ein kurzes querchecken des Changes Readme des
Kernels kann aber nie schaden.
 
> > Deshalb ist natürlich die Firewall der
> > völlig flasche Ort, sondern man muß schon beim pppd ansetzen.
> 
> Momentan ja. Nur hat man so die doppelte Arbeit. Man muß dazu die
> Filterregeln des Paketfilters nochmal für den pppd erzeugen. Das zieht bei
> jeder Änderung am Paketfilter auch eine Änderung an den Filterregeln des
> pppd nach sich. Aber hauptsache es geht überhaupt.

Ja. Aber so wild ist das auch nicht. Wenn man die bekannten Ports
gängiger Filesharerprogramme und die Netbios Ports in den Filter
wirft, dann hat man schon 98% des Anwendungsgebietes erschlagen.
Man muß keinen riesigen Aufwand treiben, es geht ja nicht ums
Blockieren oder Sichern sondern lediglich um den Timeoutcounter.

> Aber spätestens wenn man eine dynamische Firewall (keine Ahnung ob der
> Begriff so stimmt) hat, die nur die unpriviligierten Ports öffnet, die
> zuvor ausgehandelt wurden, kann das ziemlich `problematisch' werden.

Eher nicht.
Legale Datenpakete sind ja kein Problem. Die machen genau das, was sie
sollen und setzen den Counter zurück, also muß man sie nicht besonders
behandeln oder filtern.
 
> > Mit halbwegs aktuellen Kerneln geht das mittlerweile.
> 
> Ok. Ich sehe schon. Mit dem Defaultkernel (2.2.19) der Woody komme ich
> nicht weit. Schade nur daß ich jetzt nochmal testen und umkonfigurieren
> (ipchains->iptables) muß.

Der Umstieg von ipchains auf iptabels ist durchaus
empfehlenswert. Aber Du mußt erst mal gar nichts umkonfigurieren. Wenn
Du ipchains Support mit in den Kernel baust, kannst Du ipchains
einfach weiterverwenden. Nur auf die neuen Features von iptables mußt
Du dann noch verzichten, weil man nicht beides mischen kann.

Das Thema active-filter wurde übrigens letztens erst in
de.comp.os.unix.networking.misc behandelt - da solltest Du Dir
<8e1.3ccadf44.558c1@procyon.ew-tech-hh.de> ff. für ein paar Beispiele
vielleicht einmal ansehen.

cu,

marcus

-- 
              The best things in life are free, but the
                expensive ones are still worth a look.
eMail: bofh@bogomips.de


-- 
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)



Reply to: