On Tue, Nov 21, 2000 at 01:58:51PM +0100, Andreas Tille wrote:
> On Tue, 21 Nov 2000, Heiko Schlittermann wrote:
>
> > H�ufig werden 1 und 3 kombiniert verwendet. Es sollte also kein Problem
> > geben, wenn Du Deinem Admin klarmachen kannst, da� er einfach von
> > Deiner IP-Adresse (beliebige Portnummer) Verbindung zu beliebigen
> > IP-Adressen (Port 22) zulassen soll. Das soweit f�r den ausgehenden
> > Teil.
> Wie mach ich ihm das aber klar, wenn er meint, da� er pro Port nur
> einen entfernten Rechner ansprechen kann?
Wem, dem Admin oder dem Firewall?
Bei der Firewall glaube ich fast nicht, da� es so eine Einschr�nkung
gibt. Beim Admin ...?
> > F�r den ankommenden Teil mu� er nur alles zulassen, was von beliebigen
> > Adressen/Ports (ja, er kann hier Port 22 angeben, aber das bringt keine
> > Sicherheit) zu Deinem Rechner will, aber NUR, wenn _nicht_
> > _ausschlie�lich_ das SYN-Bit gesetzt ist.
> >
> > Er kann die Sicherheit _etwas_ verbessern, wenn er f�r die externen
> > Adressen nur die zul��t, die Du ihm sagst.
> Jetzt noch mal langsam zum mitdenken: Ich lebe bisher hier mit der
> Gewissheit, da� ich von drau�en nicht auf meinen Rechner hinter dem
> Firewall draufkomme.
Korrekt.
> Meinst Du jetzt mit "ankommender Teil" die
> IP-Pakete, die ich in einer von innen initiierten ssh-Verbindung
> empfange oder gar, da� ich mich von au�en per ssh zu einem bestimmten
> Port des Firewalls an meinem innen liegenden Rechner anmelden kann?
Ich meinte den 1. Teil. Das andere w�re sowas wie Portforwarding,
machen manche FWs, aber wolltest Du ja garnicht.
Ich meinte genau die Pakete, die ``zu Deiner von innen begonnenen''
Verbindung geh�ren
Local Remote
Port * Port 22
SYN -------------->
<-------------- SYN, ACK
ACK -------------->
daten, ACK ------->
<-------------- daten, ACK
....
Eine TCP-Verbindung wird immer mit einem Paket mit gesetzten SYN und
_ohne_ ACK aufgebaut. Sobald Du von au�en diese Pakete blockst, kann
regul�r zu Dir keiner eine Verbindung starten. Wohl k�nnen aber die
anderen P�ckchen rein, die haben ein ACK und einen Port und eine
Sequenznummer, mit deren Hilfe die Zuordnung zu einer bestehenden
Verbindung m�glich ist. (Ja, Spoofing ist immer noch m�glich, aber
gerade das w�re ja das Argument f�r den Einsatz einer SSH an Stelle von
Telnet.)
Best regards from Dresden/Germany
Viele Gruesse aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN --------------------- internet & unix support -
<a href="http://debian.schlittermann.de/"> Debian 2.x CD </a>
Heiko Schlittermann HS12-RIPE finger:[EMAIL PROTECTED] -
pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 -------
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an [EMAIL PROTECTED] die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
-----------------------------------------------------------
712 eingetragene Mitglieder in dieser Liste.
