am Sat, dem 15.11.2003, um 18:40:02 +0100 mailte Andreas Kretschmer folgendes: > am Sat, dem 15.11.2003, um 18:24:59 +0100 mailte Christoph Wegscheider folgendes: > > Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso > > dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). > > Das ist so formuliert und in diesem Zusammenhang Unsinn. Um das mal *etwas* zu erklären: - um Masquerading einzuschalten, bedarf es nur 2 Dinge: - IP-FORWARD freischalten mit echo 1 > /proc/sys/net/ipv4/ip_forward - Masquerading für das Netz einschalten mit: iptables -t nat -A POSTROUTING -s $LOCAL_NET -j MASQUERADE Das ist alles, wenn man die Default-Policy in FORWARD auf ACCEPT beläßt. Ja, man kann das ausbauen und in FORWARD filtern, und oftmals wird man das auch wollen & tun. - die Wintendo-Kisten _hinter_ der Masquerading betreibenden Router sind vor von außen kommenden Lovesan-Anfragen sicher, weil es dazu keine Regel gibt, die diese Anfragen forwarded. Könnte man natürlich tun... Unterm Strich bleibt: - eine Firewall ist kein Stück Software, das man auf einen Rechner wirft. Egal, ob sie Shorewall oder Zonenalarm oder Pumpernickel heißt. - man sollte aus verschiedenen Gründen _nicht_ auf die Frontkiste zum bösen Internet 1000 Dienste für das intern LAN packen. Ein Großteil des täglichen SPAM haben wir wohl Leuten zu verdanken, die das trotzdem tun. Das heißt nicht, daß man es nicht sicher bekommen kann, sondern eher, daß jeder Dienst potentiell Lücken haben kann und der gesamte Verwaltungsaufwand steigt. - Eine Firewall ist ein Konzept, man kann dieses z.B. mit einer alten Gurke, auf der native iptables oder meinetwegen Shorewall (ich kenne es nicht) oder fli4l realisieren. In Verbindung mit dem 2. Punkt kann das eine durchaus sinnvolle und sichere Realisierung sein. Aber die Details ergeben sich aus dem Konzept und der Aufgabe, was konkret vor wem zu sichern ist. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)
Attachment:
pgp7gqffpXGdk.pgp
Description: PGP signature