Hallo Andreas, * Andreas Pakulat <apaku@gmx.de> [20051121 12:15]: > > Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein, > > alles andere wird über die andere NIC nur nach innen freigegeben - > > alles per iptables; für die Konfiguration dessen werde ich bastille > > nehmen. > > ?? Wieso iptables? Lass die Dienste nur auf der internen NIC lauschen, > das ist deutlich sicherer als irgendwelche iptables Basteleiein. Falsch. Wo letztendlich das Paket aufgehalten wird ist egal, das heißt zunächst einmal sind beide Vorgehensweisen gleich "sicher". Wenn man sich allerdings nur auf die Kponfiguration der einzelnen Dienste verlässt ist das wesentlich fehleranfälliger, jeder hat eine andere Syntax und es gibt sogar welche, die sich überhaupt nicht beschränken lassen. Man macht also am besten beides (richtige Konfiguration der einzelnen Dienste UND Paketfilter). Die weit verbreiteten Vorbehalte gegen Paketfilter liegen eher in sogenannten "Firewalls" für Windows begründet, die irgendwelchen Voodoo-Zauber versprechen und zu unsicher konfigurierten Systemen sowie Risikokompensation beim Anwender führen. Linux Netfilter dagegen funktioniert genau wie beschrieben und verspricht nichts Unsinniges, den Einsatz kann man nur empfehlen. Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias) http://zirias.ath.cx/ | | \ / Campaign Against | fmp@palmen.homeip.net encrypted mail welcome | | X HTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |
Attachment:
signature.asc
Description: Digital signature