Felix M. Palmen <[EMAIL PROTECTED]> schrieb: > Hallo Christian, > > * Christian Schmidt <[EMAIL PROTECTED]> [20050828 16:39]: > > Das ist keine Alternative. > > Wenn man nicht moechte, dass "ein Port offen ist" (ein Dienst auf > > diesem Port lauscht), dann schaltet man den Dienst ab. > > Oder haengst Du beim Verlassn Deiner Wohnung auch nur ein Schild > > "Abgeschlossen" an Deine Wohnungstuer? > > Das ist ein ziemlich dämlicher Vergleich. Ein vernünftiger Paketfilter
Nein. Ein Paketfilter ist nicht dafür gedacht, eine verkorkste Konfiguration abzusichern. > Unter Umständen ist das sogar die einzige Möglichkeit, wenn man einen > Dienst nur im LAN haben will, dieser aber keine > Konfigurationsmöglichkeiten bietet hinsichtlich der Interfaces, an > denen er horcht. Prinzipiell ACK, aber nenne bitte mal ein paar Dienste, die das betrifft. (ja, ich kenne einen...) > Wenn irgend möglich sollte man sowohl den Dienst dazu bringen, NICHT am > externen interface zu lauschen (oder je nachdem ihn ganz beenden) als > auch Pakete filtern. Sicherheitskonzepte möchte man nämlich gerne > redundant haben. Jo. Nur die Pauschalaussage 'dann installier halt ne Firewall' und noch dazu mit Kanonen auf Spatzen (auf netfilter.org ist ein Beispiel, wie das mit 3 Zeilen iptables geht) führt berechtigterweise bei vielen Leuten zu Brechreiz. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
