Re: Debian Sarge Firewall
On Fri, May 06, 2005 at 11:50:35AM +0200, Lennart Mordek wrote:
> Vielen Dank für eure Tipps, ich werde einiges ausprobieren. Mit einem kann
> mich nur nicht anfreunden mit der Aussage vom Herr Kretschmer!
>
> Zitat (bzw siehe unten):
> "Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust,
> berlegst Du Dir, ob es nicht vielleicht besser wre, die Server
> gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist
> mehr als fraglich."
>
> Ich habe mehrere Server die direkt im Internet stehen, laut meiner
> Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur
> Sicherheit!
> Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht
Die Frage ist warum brauchst du iptables-Regeln? Ich persoenlich bevorzuge es
die Dienste so sicher wie moeglich zu konfigurieren and IPtables Regeln nur wenn
es ueberhaupt nicht anders geht. Grund ist dass sauber konfigurierte Dienste
schwerer zu attackieren sind und ein Wust von IPtables Regeln unuebersichtlich
und fehleranfaellig ist. Erste Grundregel ist deshalb, die Dienste nur aussen
verfuegbar machen wenn es noetig ist. Ein Mysql-Server der nur von PHP fuer die
Website benoetigt wird muss nicht nach aussen verfuegbar sein. Es reicht ihn lokal
erreichbar zu machen. Zum entfernten administrieren kann man notfalls einen
SSH-Tunnel starten. So muss man dann keine IPtables Regeln dafuer aufsetzen.
Alles in allem kann ich Andreas nur zustimmen auch wenn seine Antwort vielleicht
etwas kurz formuliert war.
Michael
--
Escape the Java Trap with GNU Classpath!
http://www.gnu.org/philosophy/java-trap.html
Join the community at http://planet.classpath.org/
Reply to: