Re: Hilfsmittel für einfache Firewall-Konfiguration?
On Monday 28 June 2010, Martin Steigerwald wrote:
[schnipp]
> IPTables ist hingegen keine Firewall, sondern die Implementation
> eines IP- Filters. Eine sogenannte Personal Firewall macht hingegen
> nix anderes, als Ports zu sperren, die ohnehin nicht offen wären,
> wenn da keine Dienste lauschen. Und Ports von Diensten, die
> erreichbar sein soll, kann eine Personal Firewall ebenfalls nicht
> absichern.
>
> Eine solche Personal Firewall macht also nur Sinn, wenn Du Dir oder
> dem von Dir verwendeten Linux nicht zutraust, *immer* nur die von
> Dir gewünschten Dienste auf von außen zugängliche IP-Adressen
> lauschen zu lassen. Debian GNU/Linux traue ich das durchaus zu.
Hi Martin,
du hast natürlich recht, ich will einen Portfilter. Und zwar, weil ich
mir selbst nicht traue, dass ich wirklich alles so konfiguriere, dass
kein Serverprozess ungewollt auf Requests von außen horcht.
Apache lauscht nach draussen. Bei MySQL, PostgreSQL, CUPS, ntpd, inetd,
sshd weiss ich es nicht. Ich will mich vor allem nicht detailliert darum
kümmern müssen. Nicht, weil ich in der Hinsicht kognitiv beschränkt
wäre, sondern weil ich meinen Sysadmin-Aufwand klein halten will. Ist
nicht mein Job, ich bin Anwender und Progammierer. Vor 10 Jahren habe
ich mal ipfilter-Regeln von Hand geschrieben und zwischenzeitlich alles
lange vergessen. Ich mache das zu selten, um es gut zu machen.
Mir genügt es, wenn ich ausdrücken kann: "Luken dicht" oder "sshd darf
rein" oder "Apache, bitte lauschen". Das *will* ich nicht auf iptables-
Niveau tun müssen. Ich will Abstraktion. firehol ist da schon ganz
hervorragend; es nervt bloß dadurch, dass es meine Logs vollmüllt.
Michael
--
Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/
Reply to: