Hallo Reinhold, Am Thu, 24 Apr 2008 18:24:58 +0200 schrieb Reinhold Plew: > Dein Netz ist doch durch den Router vom Internet getrennt. > Wieso sollte also jemand von aussen auf einen Rechner in Deinem Netz > Zugriff erhalten (ausser, Du lässt dies zu)? Na ja. Es gibt da ab und zu Mails oder Seiten mit denen man sich "ungeschützt" schnell was holen kann. > Wenn allerdings jemand physikalisch zu diesem (irgendeinen) Rechner in > Deinem Netz Zugriff hat, kann er sich (natürlich?) frei in Deinem Netz > bewegen. Das dachte ich mir so. > > Wie macht man das nun bei "größeren" Netzen. Stimmt auch hier der > > Spruch "so sicher wie das schwächste Glied"? > > IMHO nur auf der Strecke Internet<->Router<->Intranet. > > > Im Prinzip müsste ich auf jeden Rechner im Netz iptables einrichten > > und Regeln erstellen, damit nur Ports rein dürfen, die benötigt > > werden. > > Denke ich nicht, ausser Du willst verhindern, das die Rechner > untereinander kommunizieren. Rechner eins darf diese. Rechner 2 muss nur ins Internet. Mailserver muss nur Pop, smt, IMAP und ssh. > > Für den "schwachen Rechner" werde ich dann erst einmal ein Regel auf > > den Router erstellen müssen, das dieser nur ins Internet kann aber > > keinen Zugriff auf das lokale Netz hat. > > Aha, die Rechner sollen sich also untereinander nicht sehen und auch > nicht zugreifen können. > Für einen Zugriff müssten dann aber auf den einzelnen Rechner auch > Dienste laufen, welche an (irgendwelchen) Ports lauschen. > > Schalte alle Dienste ab und gut iss ;-) Dafür müsste ich mich erst tiefer mit W2k auseinander setzen. Und dazu habe ich gar keine Lust.
Attachment:
signature.asc
Description: PGP signature