On Fri, Jan 05, 2007 at 12:21:30PM +0100, Ralph Brugger wrote: > Paul Muster schrieb: > > Ralph Brugger schrieb: > > Ja, durchaus. Allerdings bekommst du keinen Sicherheitsgewinn, weil du > > am Server alle Clients auf einem Kabel, d.h. auf eth0, hast. Ohne VLAN > > (und auch mit VLAN nur eingeschränkt) gibt es da keine wirkliche > > Trennung. Denn niemand kann einen Gast daran hindern, sich > > 192.168.240.100 zu geben/nehmen und dann ggü. dem iptables auf dem > > Server als "Privat" aufzutreten. > > Stimmt. Da habe ich (in der Kürze) gar nicht daran gedacht. > Wobei die Sicherheitsfrage nicht so relevant ist, da das > Vertrauensverhältnis schon da ist. Aber dann kann ich es eigentlich auch > gleich lassen bzw muss keinen solch hohen Aufwand betreiben. > > Von daher wäre es wohl sinnvoller ich würde eine weitere Netzwerkkarte > anbinden und dann eben kein WLAN anbieten - wenn die Sicherheit im > Vordergrund steht! > > > Du brauchst Trennung auch auf ISO/OSI-Layer 1 und 2, erst dann wird die > > Trennung auf Layer 3 sinnvoll. > > mfG Paul, der dafür de.comp.os.unix.networking.misc für passender hält > > als die Debian-Liste. > Oder: Du tunnelst alle deine Rechner über deinen Server. Also mit einem "internen VPN". Der Aufwand mit den IP-Tables und Routen ist dann natürlich recht hoch, weil du ja irgendwie einstellen willst, dass deine Pakete nur im Tunnel laufen. Paul --
Attachment:
signature.asc
Description: Digital signature