Re: Hint: Firewall-Anleitung

Mon, 11 May 2009 23:07:59 -0700 

On Monday 11 May 2009, Grimnin Fridyson wrote:
> > Daher ein Paranoia-DROP am Ende jeder Device-Chain.
> > Hat auch den netten
> > Nebeneffekt dass es Protokolle abfängt von denen ich noch nix weiß
> > (GRE, IP-in-IP, IP/Sec, SCTP, etc.pp.).
>
> ist schon klar, und auch alles verständlich,
>
>
> doch gibt es beispiele wo es dir nix hilft

*ARP
*Protokolle, die nix mit IPv4/6 zu tun haben (IPX, Appletalk, etc.pp.)
*RAW-Sockets

Alles nix worüber ich Schlaf verliere.

> deshalb war die aussage von mir auch halb ernst gemeint es gibt beispiele
> wie dein erwehntes wo es hilfreich ist aber es schütz nicht gegen alle
> fehler  die man so machen kann

Richtig, aber es schützt gegen einige der Gröberen.

> (leider das währe auch zu schön, aber dann 
> währe man als firewall admin wohl auch arbeitslos), und wenn man wirklich
> paranoid ist schlisst man den rechner nicht ans netz :-)

Korrekt ;-)

> > > habe nur mal kurz gelesen was mich persönlich etwas stört ist das man
> > > auf den Gedanken kommt UDP --> TCP setzen 'nur' auf IP auf
> >
> > Ich hatte keine Lust alle Einzelheiten von TCP/IP zu erklären. Daher
> > auch die Links auf Wikipedia.
>
> tcp/atm gibt es auch
> was ich sagen wollte es muss nicht immer ip sein

Ok, das habe ich mal versucht zu verifizieren: TCP over ATM ist nicht 
spezifiziert. Jedenfalls nicht in einem RFC. Wäre auch blödsinnig, weil die 
Hälfte jeder Zelle durch den TCP-Header belegt würde.

Der Modus ist üblicherweise TCP->IP->ATM oder TCP->IP->PPP/Ethernet->ATM.

> nicht mehr nicht weniger,
>
> man könnte meinen es gäbe nur tcp/ip

In meiner Welt: ja.

In der Welt der großen Glasfaserleitungsbesitzer gibt es auch noch POTS, 
ISDN und wesentlich mehr Link-Layer-Protokolle als ich gewillt bin zu 
lernen.

In der Welt der Liebhaber alter Hard-/Software gibt es auch noch Appletalk, 
IPX, DECNet und ein paar andere gnadenlos veraltete Protokolle, die kein 
modernes Netz spricht.

Meine Anleitung ist nicht für die Techniker der Telekom-Switches gedacht, 
sondern für normale Anwender/Admins eines Computers mit irgendeiner Form 
von IP-Connectivity. Ob IP über Ethernet, ATM, DSL, PPP oder Token Ring 
geht ist irrelevant.


        Konrad

Attachment: pgpEGqz0cV54s.pgp
Description: PGP signature

_______________________________________________
Lug-dd maillist  -  [email protected]
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Antwort per Email an