Fragen zu Firewalls
Lutz Donnerhacke
lutz at iks-jena.de
Mon Aug 6 08:58:47 CEST 2001
* Johannes Vieweg wrote:
>ich beschäftige mich gerade mit Firewalls. Ich habe mir eine Konstellation
>von Rechnern ausgedachtund möchte von Euch nur wissen, ob das so sinnvoll
>ist.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Was
>Also, ich habe da einen Rechner, der die DMZ zum Internet hin schützt.
>Darauf sollte der Packetfilter iptables laufen.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Wie
>Da in der DMZ Server stehen, die Dienste wie WWW, Mail, FTP anbieten, wird
>iptables so konfiguriert, daß die Pakete auf Port 80, 25 usw.
>durchgelassen werden (bidirektional).
Das reicht nicht.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Ftp
>In der DMZ steht auch ein weiterer Server, der ein Firmennetzwerk schützt.
>Auf diesem Rechner läuft eine Application Level Firewall z.B. rinetd.
>Verbindungen, die der iptables-Server annimmt und an den rinetd-Server
>weitergeleitet werden sollen, werden abgewiesen.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Wie
>So, wenn ich gut aufgepasst habe, dürfte dies akzeptabel sein.
Nein. http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Was
verlangt von Dir ein Konzept. Du hast nur eine Umsetzung geliefert.
Das Bedrohungspotential, welches Du bekämpfen willst, ist undefiniert.
>P.S.: Gibts eigentlich schon dynamische Firewalls, die Ports nur nach
>Autentifizierung freigeben?
Ja.
>So nach dem Motto: Port 65535 ist standardmäßig deaktiviert, wenn ich als
>berechtigte Person aber eine Verbindung aufbaue, dann wird er geöffnet...
Ja. Wenn Du das von innen versuchst, hast Du ein ganz anderes Problem. Wenn
Du es von außen versuchst, hast Du das Problem nicht vertrauenswürdiger
Netze nicht völlig verstanden.
--
tlug Mailingliste
liste at tlug.de
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein