am Sat, dem 15.11.2003, um 18:40:02 +0100 mailte Andreas Kretschmer folgendes:
> am Sat, dem 15.11.2003, um 18:24:59 +0100 mailte Christoph Wegscheider folgendes:
> > Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso
> > dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan).
>
> Das ist so formuliert und in diesem Zusammenhang Unsinn.
Um das mal *etwas* zu erklären:
- um Masquerading einzuschalten, bedarf es nur 2 Dinge:
- IP-FORWARD freischalten mit
echo 1 > /proc/sys/net/ipv4/ip_forward
- Masquerading für das Netz einschalten mit:
iptables -t nat -A POSTROUTING -s $LOCAL_NET -j MASQUERADE
Das ist alles, wenn man die Default-Policy in FORWARD auf ACCEPT
beläßt. Ja, man kann das ausbauen und in FORWARD filtern, und oftmals
wird man das auch wollen & tun.
- die Wintendo-Kisten _hinter_ der Masquerading betreibenden Router sind
vor von außen kommenden Lovesan-Anfragen sicher, weil es dazu keine
Regel gibt, die diese Anfragen forwarded. Könnte man natürlich tun...
Unterm Strich bleibt:
- eine Firewall ist kein Stück Software, das man auf einen Rechner
wirft. Egal, ob sie Shorewall oder Zonenalarm oder Pumpernickel heißt.
- man sollte aus verschiedenen Gründen _nicht_ auf die Frontkiste zum
bösen Internet 1000 Dienste für das intern LAN packen. Ein Großteil
des täglichen SPAM haben wir wohl Leuten zu verdanken, die das
trotzdem tun. Das heißt nicht, daß man es nicht sicher bekommen kann,
sondern eher, daß jeder Dienst potentiell Lücken haben kann und der
gesamte Verwaltungsaufwand steigt.
- Eine Firewall ist ein Konzept, man kann dieses z.B. mit einer alten
Gurke, auf der native iptables oder meinetwegen Shorewall (ich kenne
es nicht) oder fli4l realisieren. In Verbindung mit dem 2. Punkt kann
das eine durchaus sinnvolle und sichere Realisierung sein.
Aber die Details ergeben sich aus dem Konzept und der Aufgabe, was
konkret vor wem zu sichern ist.
Andreas
--
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)
Attachment:
pgp7gqffpXGdk.pgp
Description: PGP signature