Tach auch, Am Freitag, 6. Juni 2014, 14:01:18 schrieb Joel Garske: > [...] > Da es bei IPv6 kein NAT gibt (bitte zitiert mich nicht damit, aber das > sollte man nach Moeglichkeit einfach so sehen und betreiben), sollte man > den gewuenschten Effekt - oft "Ausgehende Verbindungen und deren return > Traffic erlauben, eingehende ablehnen" - dann nachruesten. Das ist mit > IPtables allerdings in 2 Regeln getan: Stichwort conntrack, > established/related.
Das ist genau der Punkt, den Johannes angesprochen hatte: Die Rechner, die mit irgenwelchen Trojanern oder Viren befallen sind, können ungehindert in die weite Welt funken, weil die Firewall so eingestellt ist, dass sie alle ausgehende Nachrichten ungefiltern rauslässt. Antworten auf diese Nachrichten kommen auch ungefiltert rein. Stichwort: established/related. Klar kann man das so machen. Aber der Sicherheitsvorteil ist doch eher gering. Aber dennoch besser als ohne FW. Von daher: Es ist die Lösung, die am wenigsten Kopfzerbrechen dem Firewall-Neuling bereitet. Viele Grüße aus Wahnheide, Torben -- Müll im Kopf ist auch Umweltverschmutzung. (Ulrich Wickert, Welt am Sonntag, 29. Dezember 2013)
signature.asc
Description: This is a digitally signed message part.
_______________________________________________ Trolug_trolug.de mailing list [email protected] https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
