Am 13. Juni 2013 19:35 schrieb Jochen Spieker <ml@well-adjusted.de>:
Bjoern Meier:
Wie jeder, der länger als 5 Minuten im Internet war, benutze ich
Zuhause einen Router. Wir nutzen sie, da sie uns durch Masquerading
schützen. So weit , so gut.
Das ist leider schon falsch. "Router" im eigentlichen Sinne routen nur.
NAT/Masquerading wird hierzulande hauptsächlich deswegen gemacht, weil
es pro Hausanschluss nur eine IP-Adresse gibt.
Ja natürlich, dass ist der einzige Aspekt dahinter. Bei Site-to-Site
Netzwerken macht man das auch nur weil es pro Hausanschluss nur eine
IP-Adresse gibt.
Zum einen gibt es NICHT pro Hausanschluss, eine IP-Adresse. Sonst wäre
die dynamische Zuteilung auch hinfällig.
Zum anderen gibt es private Adressen, damit nicht jeder zur IANA
laufen muss um Zuhause sein Netzwerk betreiben zu können.
Ferner sind die Aspekte, dass man nicht einfach auf das interne Netz
gelangt auch nicht zu vernachlässigen.
Dennoch leben wir in einer Welt, in der ständige Internetverbindung
vorausgesetzt wird. Dies trägt mitunter komische und unakzeptable
Blüten. Es bedarf nicht viel um Programme zu formulieren, die sonst
was treiben.
Häh? Kannst Du genauer ausführen, wo für Dich das Problem liegt und wie
Du es zu lösen gedenkst? Für mich klingt Dein Ansatz nach "Ich habe
nicht-vertrauenswürdige Software auf dem Rechner und möchte deswegen ein
fernsteuerbares ZoneAlarm auf dem Router haben". Kommt das so hin?
muss das sein, so von oben herab?
Nein, ich habe nicht vertrauenswürdige Software auf meinen PC. Das
gilt für jede Software, deren Quellcode ich nicht in Gänze kenne. Ich
vertraue dieser Software nur insofern wie ich in der Lage bin es
selbst zu beurteilen. Ich nenne dies "gesunden Menschenverstand".
ZoneAlarm? Meine Güte, wohnst du im Keller, dass du außer
Spielzeug-Software nichts anderes zu nennen weißt? Allerdings haben
sogenannte Desktop firewalls schon eine gewisse usability mit der ich
in den Netzwerkverkehr nach Bedarf und ohne großartige Rumklickerei
eingreifen kann. Die Nachteile dieser Software sind allerdings
zahlreich, wovon eigener Netzwerktreiber und Systemveränderungen nur
Zwei wären.
Merkst was? Kein schöner Ton, mh? Okay, zurück zur Sachlichkeit.
Es geht nicht darum, ob ich einer Software traue oder nicht. Ich
möchte das Verhalten meiner Software kennen und ich möchte
entscheiden, was sie darf und was nicht. Dies ist für mich eine
natürliche Ordnung der Dinge. "My PC, my rules"
Nein, es hilft auch nicht, zu sagen:"Nimm halt Linux und sperr mit
iptables". Dann wäre ich ja nur noch am Ports konfigurieren.
Falls du für meine Vorstellung einer nutzbaren Netzwerkumgebung kein
Verständnis aufbringen kannst oder möchtest, kein Problem, einfach
Mails überlesen. Sollte ich mich diesem Ton wiederum konfrontiert
sehen, verabschiede ich mich hiermit schon im Voraus von dir.
ich möchte daher ein Zwischensystem, welche für mich als Proxy
fungiert. Ich meine jetzt nicht allein Squid oder httpd_proxy, sondern
die tatsächliche wörtliche Übersetzung: "Stellvertreter".
Die übliche Verwendung des Begriffs "Proxy" im Netzwerkbereich stimmt
mit der wörtlichen Übersetzung überein. Sie ist nur ein Spezialfall. Was
stellst Du Dir technisch genau vor?
Okay, ich dachte, das wäre damit geklärt. ich sende meine Anfrage an
die Maschine und diese soll für mich die Antworten entgegen nehmen.
Das soll auch für Protokolle abseits von HTTP und HTTPS geschehen.
Beispiel: Ich verbinde mich mit Port 3389 und zwar nicht am Ziel,
sondern an der Maschine, welche den Port zum Ziel weiterleitet. das
hat für mich den vorteil, dass ich nur eine Verbindung lokal speichern
brauche, und die Zielport-Weiterleitung auf verschiedenste VPN
aktualisieren kann, ohne jedesmal 20 Verbindungen mit mir rumschleppen
zu müssen. Wie gesagt, ich nutze verschiedene Systeme. Wiederum hätte
es den Vorteil, dass ich den Port zentral umleiten kann, wenn das Ziel
einen anderen Port benutzt, den ich am Client nicht ändern kann.
Natürlich kann ich auch überall lokal umleiten, aber ... nö
Der schwierigste Punkt:
- jedes Programm, dass eine Verbindung mit dem state NEW aufbaut, soll
gemeldet und ggf, geblockt werden. Wird dies nicht geblockt, so werden
derartige Verbindung nicht mehr gemeldet. Ich bin hier nicht sicher,
ob dies mit iptables und squid machbar wäre.
Iptables hat keine GUI. Wowereit. Abgesehen davon krankt Dein Konzept an
den gleichen Stellen, wie die Idee von ZoneAlarm.
iptables mit GUI? Bitte nicht zufällige Interpretationen nutzen, das
verwirrt mich bloß.
Da wo mir bisher ein Ansatz aus Erfahrungsmangel fehlt: die Hardware.
*Das* ist bei Deinem Vorhaben das einfachste. Alix, Soekris … Du hast ja
nicht gesagt, dass es billig sein soll. ;-)
Richtig habe ich nicht, allerdings hätte ich zu den Wörtern gern
erfahren, warum du diese vorschlägst. Google kann ich selbst benutzen.
Ich würde gern auf Erfahrungen anderer zurückgreifen.
Danke für deine Mühe, allerdings hätte ich gern doch mehr technische
und vor allem mehr sachliche Vorschläge gehabt.
Gruß,
Björn