Hallo Andreas, Am Fri, 25 Apr 2008 08:20:08 +0200 schrieb Andreas Kretschmer: > am Fri, dem 25.04.2008, um 7:58:17 +0200 mailte Dirk Schleicher > folgendes: > > > Was meinst Du mit "Firewall"? Eine Art Paketfilter wird W2k doch > > > haben? (Ich weiß das selbst nicht). Und der Rechner hängt doch > > > hinter einem (NAT-)Router? > > > > Paketfilter unter W2k? Normalerweise knall ich dort eine Personal > > Firewall vor. > > Ja. Wer iptables kennt, wird damit auch wenig bis keine Probleme > haben. Man muß auch nicht iptables kennen, es reicht, Ahnung von der > Materie zu haben. Und wer das hat, knallt sich da keine PFW drauf. > > http://cert.uni-stuttgart.de/os/ms/ipsec-paketfilter.php Sieh an sieh an. Was es alles gibt. > > > Wahrscheinlich aber nicht über einen Angriff über das Netz direkt, > > > sondern über kaputte Anwendungen (Office, Browser, > > > Multimedia-Zeugs etc.). Dagegen hilft auch kein iptables. > > > > Darum geht es mir ja. Irgend ein Loch in Win und ein unbedachter > > klick auf ne email... > > Genau. Und dagegen hilft weder ein Paketfilter noch eine draufgenallte > PFW. Nur kapieren das die Deppen, insbesondere der Windows-Fraktion, > nur extremst sporadisch. Nein, da fühle ich mich jetzt nicht angesprochen :-) > > > > Im Prinzip müsste ich auf jeden Rechner im Netz iptables > > > > einrichten und Regeln erstellen, damit nur Ports rein dürfen, > > > > die benötigt werden. > > > > > > Nein, Du solltest Dich mit Netzwerkgrundlagen auseinandersetzen. > > > Dann weißt Du auch, wovor Du Dich wie schützen kannst. Und Du > > > drückst Dich genauer und verständlicher aus. Ports bleiben immer > > > wo sie sind. ;-) > > > > Genau das wird den Nagel auf den Kopf treffen. Netzwerkgrundlagen. > > Dort fehlt es mir noch (und auf ein paar anderen Bereichen :-)) > > Fehlendes Wissen durch mit durch Unwissenheit draufgeknallter Software > zu kaschieren kann einklich nicht funktionieren. Kannst Du bis hierher > folgen? Ja, großer sahib buana. (sorry :-)) > > > > > Wenn der Router auch Switch ist, wirst Du den Weg LAN<->LAN > > > wahrscheinlich gar nicht beeinflussen können. > > > > DOCH! Habe doch jetzt einen WRT54GL mit OpenWRT drauf. Da kann man > > so was :-) Deswegen kam mir doch die Idee. > > Was kann man da? Jeden Netzwerkport als virtuelles Netzwerk konfigurieren und mit iptable rules abdecken. Somit kann Rechner an Netwerkport1, wenn man möchte, nur ins Internet aber nicht aufs lokale Netz zugreifen, während Rechner an NetzwerkportX alles darf usw. LG Dirk
Attachment:
signature.asc
Description: PGP signature