am Sat, dem 15.11.2003, um 18:40:02 +0100 mailte Andreas Kretschmer folgendes: > am Sat, dem 15.11.2003, um 18:24:59 +0100 mailte Christoph Wegscheider folgendes: > > Es gibt sicher noch leichtere Methoden aber eine Firewall geh�rt IMHO sowieso > > dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). > > Das ist so formuliert und in diesem Zusammenhang Unsinn.
Um das mal *etwas* zu erkl�ren:
- um Masquerading einzuschalten, bedarf es nur 2 Dinge:
- IP-FORWARD freischalten mit
echo 1 > /proc/sys/net/ipv4/ip_forward
- Masquerading f�r das Netz einschalten mit:
iptables -t nat -A POSTROUTING -s $LOCAL_NET -j MASQUERADE
Das ist alles, wenn man die Default-Policy in FORWARD auf ACCEPT
bel��t. Ja, man kann das ausbauen und in FORWARD filtern, und oftmals
wird man das auch wollen & tun.
- die Wintendo-Kisten _hinter_ der Masquerading betreibenden Router sind
vor von au�en kommenden Lovesan-Anfragen sicher, weil es dazu keine
Regel gibt, die diese Anfragen forwarded. K�nnte man nat�rlich tun...
Unterm Strich bleibt:
- eine Firewall ist kein St�ck Software, das man auf einen Rechner
wirft. Egal, ob sie Shorewall oder Zonenalarm oder Pumpernickel hei�t.
- man sollte aus verschiedenen Gr�nden _nicht_ auf die Frontkiste zum
b�sen Internet 1000 Dienste f�r das intern LAN packen. Ein Gro�teil
des t�glichen SPAM haben wir wohl Leuten zu verdanken, die das
trotzdem tun. Das hei�t nicht, da� man es nicht sicher bekommen kann,
sondern eher, da� jeder Dienst potentiell L�cken haben kann und der
gesamte Verwaltungsaufwand steigt.
- Eine Firewall ist ein Konzept, man kann dieses z.B. mit einer alten
Gurke, auf der native iptables oder meinetwegen Shorewall (ich kenne
es nicht) oder fli4l realisieren. In Verbindung mit dem 2. Punkt kann
das eine durchaus sinnvolle und sichere Realisierung sein.
Aber die Details ergeben sich aus dem Konzept und der Aufgabe, was
konkret vor wem zu sichern ist.
Andreas
--
Diese Message wurde erstellt mit freundlicher Unterst�tzung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082�, E 13.56889� ;-)
pgp00000.pgp
Description: PGP signature
