[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall auf Debian Sarge

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Moin moin.


> Danke für die ausführliche Antwort. [...]
Bitte bitte, erinnere mich noch zu gut an meine Anfangszeiten - oh mein Gott hab
ich den Kopf geschüttelt bei der Problematik der verschiedenen Hosts für jede
Problemdomäne ;)

> Würdest du in meinem Fall eher zu
> einer "Hardware-Firewall" tendieren (bsp: Netgear FVS338 oder
> Ähnliches). Nur schon vom Stromverbrauch scheint das zu rentieren.
Hmm, gerade beim Stromverbrauch wäre ich vorsichtig. Die kleinen Kisten täuschen
oft darüber hinweg, das sie durchaus Hunger wie große Rechner haben können.
Ich sage bewusst können, hier hilft nur ein Blick in die technische
Spezifikation der jeweiligen Hardwarekiste.
Aber grundsätzlich ist der Weg durchaus gangbar. Die Frage ist nur, ob nicht
vielleicht auch eine kleine Appliance in Betracht käme. Habe leider keinen
Einblick um was für ein Umfeld es sich bei Dir handelt...
Allerdings finde ich auch den Ansatz von OpenWRT nicht schlecht. Ist eine Open
Source Firmware für verschiedene Hardwarerouter. Hier kannst ja dann auch direkt
die Grundregeln anlegen. Link wäre http://openwrt.org/ allerdings sei von meiner
Seite noch gesagt, das ich damit keine direkte Erfahrung habe! Aber vielleicht
bringt der Blick auf die Site weitere Einblicke?
Weitere Nachteil der kleinen Router mit Firewall ist meist, das es ein
geschlossenes System ist, auf das Du kaum Einfluss nehmen kannst (außer Du
kriegst sowas wie OpenWRT an den Start ;) ) und Du kannst es nicht erweitern!
Gerade das finde ich oft für Umgebungen, die schon größer sind und meist die
Angewohnheit haben noch zu wachsen, recht beunruhigend da einschränkend!

> Meines Wissens ist das Problem bei den Hardwarefirewalls, dass sie
> grundsätzlich davon ausgehen, dass aller Traffic von innen nach aussen
> ok ist. Es ist dann sehr mühsam, jeden Port einzeln zu sperren - und
> nicht umgekehrt arbeiten zu können und einfach die nötigen Ports zu
> öffnen. Wenn ich aber zwei Firewalls nehme und eine DMZ baue, dann
> scheint dass wieder besser zu funktionieren ...
Also eine saubere DMZ ist einfacher zu Handhaben als ein gemischtes Netz mit
Servern und "normalen Clients".
Was die Standardregeln angeht, kann man das meist auch auf den kleinen Kisten
festlegen, das die Default-Rule wegwerfen ist. Auf meinem WLAN Router (gut, er
spielt seit dem DSL Upgrade nur noch Access Point) war das zum Beispiel per
Default so.
Viel interessanter finde ich, das ich mit IPTables mehr anstellen kann, als mit
den meisten Consumer Routern. Denn nur weil Stateful Packet Inspection (SPI)
drauf steht, ist noch lange kein vollwertiges SPI drin. Und spätestens beim
Traffic Accounting oder schon bei einfachen Spoofing Tests scheiden die normalen
Router aus.
Durchaus überschaubar sind auch kleine Rechner mit VIA CPUs oder ähnlichem. Denn
die reine Firewallfunktionalität braucht keinen Intel Core 2 Duo (sorry für die
Markenbenutzung), da langt auch eine CPU die sehr stromsparend arbeitet. Dann
lieber ordentliche Netzwerkhardware und -peripherie holen von den ersparten
Stromkosten :)

Genug der langen Worte. Hoffe noch n bisschen weitergeholfen zu haben. Und wie
immer gilt: Bei Fragen fragen (tm)

Gruß, Holger

- --
Holger Librenz - http://www.librenz.com
Fachinformatiker Anwendungsentwicklung
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFbA1oEKb1UsmnKEoRAotQAJ42eDK29ckWRWdJdva6ZhO1SZmDnQCfa0dS
+/VGqQw/lmPTQgp15jBbbe8=
=18oB
-----END PGP SIGNATURE-----
Reply to: