Re: Debian als Router einsetzen
On Saturday 15 November 2003 21:12, Dirk Prösdorf wrote: Christoph Wegscheider [EMAIL PROTECTED] wrote: Ich bin generell der Meinung das auf einem Computer der ans Internet angeschlossen ist eine Firewall (packet filtering) gehört, denn auch wenn nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine oder ander Angriffsstelle zeigen. Kannst du mir das mal genauer erleutern? Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle zu bieten und das IP-Spoofing zu verhindern. Nicht umsonst sind wichtige Systeme immer (mindestens doppelt) ausgelegt: 2 Bremskreise im Auto Reservefallschirm beim Fallschirmspringen redundante Netzanbindung kritischer Server 13 DNS-Root Server das Internet als solches ... Redundanz bringt Sicherheit denn selbst mit einer perfekten Konfiguration kann dir ein Bug im Programm einen Strich durch die Rechnung machen. Eine Firewall kann natürlich auch Bugs haben oder schlecht Konfiguriert sein aber die Wahrscheinlichkeit das eine Lücke in der Firewall genau auf eine Lücke im Programm trifft ist eben geringer als das nur eines der Beiden zutrifft. Deshalb ist es nun einmal sicherer eine Firewall zu haben als keine zu haben und sich auf seine perfekte Konfiguration zu verlassen. Genauso falsch ist es freilich sich auf seine Firewall zu verlassen und die Konfiguration zu vernachlässigen. An Die Perfekte Konfiguration glaube ich sowieso nicht, denk nur mal an OpenBSD die haben es sich zur Aufgabe gemacht in der Standardkonfiguration keine Sicherheitslücke zu haben. Und wenn man ihrer Werbung glauben darf ist es ihnen bis auf eine Sicherheitslücke auch gelungen, aber eine ist eben doch durchgerutscht. Wenn das denen passiert kann das jedem belibigen Admin in einer Firma auch passieren von Leuten mit ein paar vernetzten Computern zu Hause wie bei mir spreche ich jetzt erst einmal gar nicht. Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Dirk Prösdorf wrote: Ruediger Noack [EMAIL PROTECTED] wrote: Woher nimmst du 1. die Gewissheit, dass dieses Binden an ein Interface immer und ewig bugfrei ist und du dich 2. dabei nie vertust? Zu 1. ist es sicherlich sinnvoll, die einschlägigen MLs zu lesen. Bei 2. kann ich mir relativ sicher sein, wenn ich das System überprüfe (da reicht dann oft schon für den Heimanwender eine 'netstat' aus) und das Systeme die an's Internet angebunden sind überprüft gehören dürfte doch relativ selbstverständlich sein, oder? Sicher. Trotzdem bleibt es eine potentielle Fehlerquelle. Ich für meinen Teil behaupte jedenfalss nicht von mir, trotz aller Sorgfalt nicht auch mal einen Fehler zu machen. ;-) Es gibt bei beiden somit ebenso wenig oder viel Gewissheit bezüglicher dieser beiden Punkte wie beim Einsatz eines Filters und damit ist diese Argumentation sicherlich keine die mich vom Filtern von Ports anstelle eines vernüftig konfiguierten Systems überzeugt. Ich argumentiere auch nicht gegen dein Binden von Diensten an das interne Interface und für irgendetwas. Ich wollte nur dein das es *ausreicht* die Dienste nicht an das externe Interface zu binden... relativieren. Das allein reicht natürlich nicht aus, aber so absolut hast du es ja auch nicht gemeint, denke ich. -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Am 2003-11-15 19:43:44, schrieb Andreas Kretschmer: Um das mal *etwas* zu erklären: - die Wintendo-Kisten _hinter_ der Masquerading betreibenden Router sind vor von außen kommenden Lovesan-Anfragen sicher, weil es dazu keine Regel gibt, die diese Anfragen forwarded. Könnte man natürlich tun... Um die Wintendo-$USER davon zu überzeugen, das sie mit Linux besser fahren ??? ;-) Grüße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Christoph Wegscheider [EMAIL PROTECTED] wrote: On Saturday 15 November 2003 21:12, Dirk Prösdorf wrote: Christoph Wegscheider [EMAIL PROTECTED] wrote: Ich bin generell der Meinung das auf einem Computer der ans Internet angeschlossen ist eine Firewall (packet filtering) gehört, denn auch wenn nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine oder ander Angriffsstelle zeigen. Kannst du mir das mal genauer erleutern? Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle zu bieten und das IP-Spoofing zu verhindern. Nicht umsonst sind wichtige Systeme immer (mindestens doppelt) ausgelegt: 2 Bremskreise im Auto Hilfe, die beliebten Autovergleiche. Reservefallschirm beim Fallschirmspringen redundante Netzanbindung kritischer Server 13 DNS-Root Server das Internet als solches ... Wären dann nicht doppelte Paketfilter oder gar 13 Paketfilter auf dem Rechner wesentlich sicherer? Ich würde mal sagen nein, da durch dieses mehr Software und damit auch mehr an Konfiguration die Gefahr eines Fehlers ja eher höher würde. Redundanz bringt Sicherheit Die Aussage in ihrer Absolutheit würde ich nicht teilen. Redundanz bringt genau dann weniger Sicherheit, wenn sie durch ihr mehr an Systemen die Angriffsmöglichkeiten erhöht . Eine Firewall kann natürlich auch Bugs haben oder schlecht Konfiguriert sein Eine Firewall ist für mich erst einmal ein Konzept und klar, kann dieses Fehler haben oder schlecht umgesetzt sein. Es kann aber auch Bestandteil eines solchen Konzeptes sein, die benötigten Dienste nur dort anzubieten, wo sie auch benötigt werden und sie nicht in die freie Welt zu posaunen (ich finde dies übriegens einen durchaus sinnvollen Bestandteil des Konzeptes ;-). Dies kann man oft über eine sinnvolle Konfiguration erreichen und manchmal halt nur über einen Paketfilter (gerade dann, wenn Netze getrennt werden müssen). Genauso falsch ist es freilich sich auf seine Firewall zu verlassen und die Konfiguration zu vernachlässigen. Ich gehe mal davon aus, dass hier ein Paketfilter gemeint ist. Schade nur, dass du in deinem ersten Beitrag nicht darauf verwiesen hast, die verwendeten Serverdienste richtig zu konfiguieren. Unter diesem Aspekt kann ein Paketfilter ein weiter Schutz sein, wenn man sich dadurch nicht gerade neue Lücken rein holt. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Ruediger Noack [EMAIL PROTECTED] wrote: Sicher. Trotzdem bleibt es eine potentielle Fehlerquelle. Ich für meinen Teil behaupte jedenfalss nicht von mir, trotz aller Sorgfalt nicht auch mal einen Fehler zu machen. ;-) Ach wäre das ein langweiliges Leben, wenn man keine Fehler gemacht hätte - nur bei der Systemadministration könnten es gerne einige weniger sein. ;-) Ich wollte nur dein das es *ausreicht* die Dienste nicht an das externe Interface zu binden... relativieren. Das allein reicht natürlich nicht aus, aber so absolut hast du es ja auch nicht gemeint, denke ich. Ich sage mal so, ich glaube, dass es in sehr vielen Fällen die wesentlich sichere Variante gegenüber irgend einem Paketfilter ist, der vom Anwender nicht verstanden wird. Leider ist meine Erfahrung, dass gerade solche Paketfilter (vulgo Firewalls) als Allheilmittel verstanden werden, die grundsätzlich dem User, der sich das erste mal Gedanken zu Sicherheit macht, vorgeschlagen wird. Dann wird halt eine Fertiglösung installiert, da die Person, die sich nicht mit der Konfiguration ihrer Software beschäftigt sich auch oft nicht mit dem Schreiben eines Scriptes beschäftigt. Wenn dann irgend etwas nicht funktioniert, wird an dem Script irgend wie rumgefummelt und das Ergebnis hat dann m.E. recht wenig mit Sicherheit zu tun. Wer dagegen beides macht, Dienste richtig konfiguriert und sich mit den Filterregeln auseinandersetzt und sich zusätzlich bewusst ist, dass er sich mit einem Paketfilter ein _zusätzliches_ Stück Software in's System holt, dass somit einen zusätzlichen Angriffspunkt bieten kann, dem würde ich garantiert nicht unterstellen, dass er nicht weiß was er macht. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Michelle Konzack [EMAIL PROTECTED] wrote: - die Wintendo-Kisten _hinter_ der Masquerading betreibenden Router sind vor von außen kommenden Lovesan-Anfragen sicher, weil es dazu keine Regel gibt, die diese Anfragen forwarded. Könnte man natürlich tun... Um die Wintendo-$USER davon zu überzeugen, das sie mit Linux besser fahren ??? Es gibt bereiche, wo es auf Linux keinen Ersatz für Windows-Software gibt oder wo die Kosten einer solche Migartion in keinem Verhältnis zum Kostenreduzierung durch Linux stehen. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
am Sat, dem 15.11.2003, um 17:22:10 +0100 mailte Pierre Gillmann folgendes: Hi, ich würde gerne mein Debiansystem als Router einsetzen. Ich wollte wissen, wie sich das am besten bewerkställigen lässt. Oder macht sich nen Proxy besser? Kommt drauf an ;-) Ich hab schon gegoogelt und da kamen X-Artikel über Fli4L, da ich aber mein Debiansystem nur erweitern will und nichts neuinstallieren, kommt das nicht in Frage. Es gab einige Artikel, wie ich den Gateway erreichen kann, aber das kommt ja wohl später ;-). Ich möchte erstmal das Internet freigeben können, Dann wird Dich das Thema NAT interessieren und Du wirst erstaunt sein, wie einfach das ist, nachdem Du auf http://netfilter.org die Howtos zum Thema NAT gelesen hast. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Debian als Router einsetzen
Moin! Am Samstag, 15. November 2003 17:22 schrieb Pierre Gillmann: ich würde gerne mein Debiansystem als Router einsetzen. Ich wollte wissen, wie sich das am besten bewerkställigen lässt. Oder macht sich nen Proxy besser? Ob Proxy oder Router musst Du wissen ;-) Ich hab mir nen Router konfiguriert mit iptables. www.iptables.org bietet da auch sehr gute Dokumentation. iptables ist meines Wissens auch in den Distri-Standardkernels (falls Du Dir nicht schon nen eigenen gebaut hast) enthalten. Ich hab schon gegoogelt und da kamen X-Artikel über Fli4L, da ich aber mein Debiansystem nur erweitern will und nichts neuinstallieren, kommt das nicht in Frage. Es gab einige Artikel, wie ich den Gateway erreichen kann, aber das kommt ja wohl später ;-). Ich möchte erstmal das Internet freigeben können, so dass man nur noch die Einstellungen auf den Clients machen braucht. Hab leider noch nie einen Proxy aufgesetzt, von daher kann ich Dir dabei nicht so weiterhelfen.. Gruß, Jörn -- E-Mail: [EMAIL PROTECTED]|PGP-ID: 0x216C1D08 http://stud.fh-wedel.de/~ii4820/|http://www.joernahrens.de.vu Jabber: [EMAIL PROTECTED] |ICQ: 97822080 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
On Saturday 15 November 2003 17:22, Pierre Gillmann wrote: Hi, ich würde gerne mein Debiansystem als Router einsetzen. Ich wollte wissen, wie sich das am besten bewerkställigen lässt. Oder macht sich nen Proxy besser? Ein Proxy kann die Geschwindigkeit bei einer langsamen Internetverbindung erhöhen, weil eine Seite nur einmal angefragt wird, wenn mehrere Nutzer sie aufrufen. Ich hab schon gegoogelt und da kamen X-Artikel über Fli4L, da ich aber mein Debiansystem nur erweitern will und nichts neuinstallieren, kommt das nicht in Frage. Es gab einige Artikel, wie ich den Gateway erreichen kann, aber das kommt ja wohl später ;-). Ich möchte erstmal das Internet freigeben können, so dass man nur noch die Einstellungen auf den Clients machen braucht. Du brauchst wohl eine IPTABLES-Firewall mit NAT (MASQUERADE). Damit kann man im Gegensatz zu einem Proxy nahezu alle Protokolle (POP3, SMTP, HTTP, NNTP...) verwenden. Außerdem ist ein DNS-Server (z.B. bind) sinnvoll. Damit die Clients ohne weitere Konfiguration eine eigene IP bekommen, braucht man einen DHCP-Server. Gruß Jakob Danke, Pierre -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
On Saturday 15 November 2003 17:22, Pierre Gillmann wrote: ich würde gerne mein Debiansystem als Router einsetzen. Ich wollte wissen, wie sich das am besten bewerkställigen lässt. Oder macht sich nen Proxy besser? Also ob Router oder Proxy hängt IMHO eher davon ab wieviele Clients dahinter hängen, denn wenn da nur eine handvoll da sind sparst du dir kaum Internet Traffic. Für eine einfache Router Konfiguration ohne in die Tiefen von iptables absteigen zu müssen empfehle ich dir apt-get install shorewall (http:// www.shorewall.net). Ist eine, über ein paar sehr gut dokumentierte Textdateien zu konfigurierende, Firewall die dir unter anderem auch Masquerading (= mehrere Rechner teilen sich eine IP Adresse) bietet. Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
am Sat, dem 15.11.2003, um 18:24:59 +0100 mailte Christoph Wegscheider folgendes: Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). Das ist so formuliert und in diesem Zusammenhang Unsinn. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Debian als Router einsetzen
Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). Das ist so formuliert und in diesem Zusammenhang Unsinn. Andreas ...Und diese Antwort ist so und in diesem Zusammenhang ebenfalls nicht besonders konstruktiv. Generell wird empfohlen, firewall/router-Funktionen und den Server physikalisch zu trennen (Gefahr von Löchern durch unzureichende Konfiguration). Insofern rate ich, dir nochmals fli4l anzuschauen. Ich habe mir einen alten Siemens Scenic P90 ersteigert (20 Euro), fli4l konfiguriert, und seither nicht mehr angefasst. Gruss, Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
On Saturday 15 November 2003 18:40, Andreas Kretschmer wrote: Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). Das ist so formuliert und in diesem Zusammenhang Unsinn. Die leichtere Methode: # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # echo 1 /proc/sys/net/ipv4/ip_forward Wenn man unter Firewall (wie umgangssprachlich üblich) packet filtering und nicht Das Konzept versteht ist das IMO so formuliert und in diesem Zusammenhang kein Unsinn, aber ich lasse mich gerne von dir Aufklären. Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
am Sat, dem 15.11.2003, um 18:40:02 +0100 mailte Andreas Kretschmer folgendes: am Sat, dem 15.11.2003, um 18:24:59 +0100 mailte Christoph Wegscheider folgendes: Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). Das ist so formuliert und in diesem Zusammenhang Unsinn. Um das mal *etwas* zu erklären: - um Masquerading einzuschalten, bedarf es nur 2 Dinge: - IP-FORWARD freischalten mit echo 1 /proc/sys/net/ipv4/ip_forward - Masquerading für das Netz einschalten mit: iptables -t nat -A POSTROUTING -s $LOCAL_NET -j MASQUERADE Das ist alles, wenn man die Default-Policy in FORWARD auf ACCEPT beläßt. Ja, man kann das ausbauen und in FORWARD filtern, und oftmals wird man das auch wollen tun. - die Wintendo-Kisten _hinter_ der Masquerading betreibenden Router sind vor von außen kommenden Lovesan-Anfragen sicher, weil es dazu keine Regel gibt, die diese Anfragen forwarded. Könnte man natürlich tun... Unterm Strich bleibt: - eine Firewall ist kein Stück Software, das man auf einen Rechner wirft. Egal, ob sie Shorewall oder Zonenalarm oder Pumpernickel heißt. - man sollte aus verschiedenen Gründen _nicht_ auf die Frontkiste zum bösen Internet 1000 Dienste für das intern LAN packen. Ein Großteil des täglichen SPAM haben wir wohl Leuten zu verdanken, die das trotzdem tun. Das heißt nicht, daß man es nicht sicher bekommen kann, sondern eher, daß jeder Dienst potentiell Lücken haben kann und der gesamte Verwaltungsaufwand steigt. - Eine Firewall ist ein Konzept, man kann dieses z.B. mit einer alten Gurke, auf der native iptables oder meinetwegen Shorewall (ich kenne es nicht) oder fli4l realisieren. In Verbindung mit dem 2. Punkt kann das eine durchaus sinnvolle und sichere Realisierung sein. Aber die Details ergeben sich aus dem Konzept und der Aufgabe, was konkret vor wem zu sichern ist. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Debian als Router einsetzen
am Sat, dem 15.11.2003, um 19:25:37 +0100 mailte Christoph Wegscheider folgendes: On Saturday 15 November 2003 18:40, Andreas Kretschmer wrote: Es gibt sicher noch leichtere Methoden aber eine Firewall gehört IMHO sowieso dazu, vor allem wenn du auch Windows Clients hast (Sichwort Lovesan). Das ist so formuliert und in diesem Zusammenhang Unsinn. Die leichtere Methode: # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # echo 1 /proc/sys/net/ipv4/ip_forward Wenn man unter Firewall (wie umgangssprachlich üblich) packet filtering und nicht Das Konzept versteht ist das IMO so formuliert und in diesem Zusammenhang kein Unsinn, aber ich lasse mich gerne von dir Aufklären. Ergänzend zu meiner anderen Mail: Wenn es so einfach ist (und es ist so einfach), warum dann erst noch Shorewall installieren und, nach Deinen Worten, mehrere Textdateien editieren, um diesen Zweizeiler zu realisieren? Und weiter, welche Gefahr geht von Lovesan aus, wenn ich weder Shorewall installiere noch den Zweizeiler aufrufe? Lebe ich mit Shorewall/Zweizeiler sicherer als ohne? Richtig, daher mein Statement. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Debian als Router einsetzen
On Saturday 15 November 2003 19:50, Andreas Kretschmer wrote: Ergänzend zu meiner anderen Mail: Ja das mit Lovesan und dem Router ohne Portforwarding stimmt natürlich da hatte ich wohl kurzzeitig einen Blackout. Wenn es so einfach ist (und es ist so einfach), warum dann erst noch Shorewall installieren und, nach Deinen Worten, mehrere Textdateien editieren, um diesen Zweizeiler zu realisieren? Ich bin generell der Meinung das auf einem Computer der ans Internet angeschlossen ist eine Firewall (packet filtering) gehört, denn auch wenn nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine oder ander Angriffsstelle zeigen. Und weiter, welche Gefahr geht von Lovesan aus, wenn ich weder Shorewall installiere noch den Zweizeiler aufrufe? Lebe ich mit keine da es ja ein WinVirus ist im Übrigen siehe oben. Shorewall/Zweizeiler sicherer als ohne? Richtig, daher mein Statement. Definitiv jain, da unter Umständen viele Computer dadurch keinen Internet Zugang hätten. Du aber auf deinem Computer auch keine Firewall hast was ihn wiederum angreifbarer macht zumal das in diesem konkreten Fall eine normale Workstation zu sein scheint. Und ja du merkst richtig an, das es auf die Aufgabe ankommt und als Privatperson finde ich einen Router mit internen Diensten (DNS, DHCP, IMAP, ...) und einer Workstation als durchaus angemessen (gute Konfiguration vorausgesetzt). Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Christoph Wegscheider [EMAIL PROTECTED] wrote: Ich bin generell der Meinung das auf einem Computer der ans Internet angeschlossen ist eine Firewall (packet filtering) gehört, denn auch wenn nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine oder ander Angriffsstelle zeigen. Kannst du mir das mal genauer erleutern? Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle zu bieten und das IP-Spoofing zu verhindern. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Hallo Pierre Am Samstag, 15. November 2003 17:22 schrieb Pierre Gillmann: Hi, ich würde gerne mein Debiansystem als Router einsetzen. Ich wollte wissen, wie sich das am besten bewerkställigen lässt. Oder macht sich nen Proxy besser? Wie wäre es mit einen Router mit Proxy und Firewall. Die Firewall kann erst mal für die Sicherheit sorgen und mit dem Proxy kannst du deine Sicherheit nochmal erhöhen. das kommt ja wohl später ;-). Ich möchte erstmal das Internet freigeben können, so dass man nur noch die Einstellungen auf den Clients machen braucht. Wenn du Beispiele für die Configs brauchst einfach mal PM. MfG Markus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Dirk Prösdorf wrote: Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle zu bieten und das IP-Spoofing zu verhindern. Woher nimmst du 1. die Gewissheit, dass dieses Binden an ein Interface immer und ewig bugfrei ist und du dich 2. dabei nie vertust? -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Ruediger Noack wrote: Dirk Prösdorf wrote: Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle zu bieten und das IP-Spoofing zu verhindern. Woher nimmst du 1. die Gewissheit, dass dieses Binden an ein Interface immer und ewig bugfrei ist und du dich 2. dabei nie vertust? netstat -nl Gruss Udo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Udo Müller wrote: Ruediger Noack wrote: Woher nimmst du 1. die Gewissheit, dass dieses Binden an ein Interface immer und ewig bugfrei ist und du dich 2. dabei nie vertust? netstat -nl Du meinst, netstat kann niemals nie lügen? -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Ruediger Noack [EMAIL PROTECTED] wrote: Dirk Prösdorf wrote: Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle zu bieten und das IP-Spoofing zu verhindern. Woher nimmst du 1. die Gewissheit, dass dieses Binden an ein Interface immer und ewig bugfrei ist und du dich 2. dabei nie vertust? Zu 1. ist es sicherlich sinnvoll, die einschlägigen MLs zu lesen. Bei 2. kann ich mir relativ sicher sein, wenn ich das System überprüfe (da reicht dann oft schon für den Heimanwender eine 'netstat' aus) und das Systeme die an's Internet angebunden sind überprüft gehören dürfte doch relativ selbstverständlich sein, oder? Es gibt bei beiden somit ebenso wenig oder viel Gewissheit bezüglicher dieser beiden Punkte wie beim Einsatz eines Filters und damit ist diese Argumentation sicherlich keine die mich vom Filtern von Ports anstelle eines vernüftig konfiguierten Systems überzeugt. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Router einsetzen
Ruediger Noack [EMAIL PROTECTED] wrote: Woher nimmst du 1. die Gewissheit, dass dieses Binden an ein Interface immer und ewig bugfrei ist und du dich 2. dabei nie vertust? netstat -nl Du meinst, netstat kann niemals nie lügen? Du gehst also davon aus, dass man a) einen Fehler bei der Konfiguration macht oder das Programm, dass an einen Port gebunden werden werden sollen einen Bug und zusätzlich soll netstat auch noch einen Fehler haben? Aber bei der ominösen Firewall-Software funktioniert immer alles wunderprächtig? Ich glaube einfach, wir haben unterschiedliche Lebenserfahrungen was PCs angeht. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)