[linux-l] Aus meiner dmesg

Carsten Posingies neurobasher at gmx.net
Mi Feb 12 09:12:19 CET 2003


Peter Ross <Peter.Ross at alumni.tu-berlin.de> schrieb:

> On Tue, 11 Feb 2003, Carsten Posingies wrote:
>
>> Mal ne ganz andere Frage am Rande... Gibt's irgendeinen sinnvollen
>> Grund, die NetBIOS-Ports nach draußen offen zu lassen, wenn man
>> nicht gerade übers Inet n Netzwerk-Share hat? (Wobei ich schwer
>> daran zweifle, dass ausgerechnet das ein sinnvoller Grund ist... ;-)
>> Scheint, 137-139 sind mit Abstand die größten
>> Bandbreitenverschwender im Inet.
>
> Nicht nur das,, sondern auch gefaehrlich. Man sollte eine Feierwall
> der Art bauen "Mache alles dicht" und dann nur gezielt aufmachen, was
> masn wirklich braucht.

Ja, logo. Ich wollte nur mal die Meinung von anderen dazu hören, weil ich
auch keinen triftigen Grund sehe. Hab irgendwo gelesen, dass es deswegen
sinnvoll sein könnte, sie nach außen freizugeben, weil Windosen
NetBIOS-Anfragen senden, wenn sie einen Hostnamen nicht per DNS auflösen
können. Aber das ist imho just bullsh*t, weil fehlkonfiguriert. Im internen
Netz hier bei mir (na ja, drei Rechner *lol*) hab ich zwischen meinem W2k-PC
und der W98-Kiste meiner Freundin NetBIOS freigegeben, weil wir ab und an
Dateien hin und her schieben, aber NetBIOS darf weder raus noch rein ins
Inet.

Ich würd meinen, jeder Admin, der sich mal den Spaß macht, NetBIOS-Anfragen
nach draußen auf LOG zu setzen, sollte nach spätestens ner Stunde einsehen,
dass es keine gute Idee ist, die Ports freizugeben.

> "Von innen sind alle Verbindungen erlaubt" macht es jedem Stueck
> zweifelhaften Codes, welches es in Dein Netzwerk geschafft hat,
> einfach, seinen Erfolg zu melden, weitere Tore zu oeffnen, andere
> Rechner anzugreifen, Deine Festplatte zu veroeffentlichen etc.

Jepp, nur bei Ports wie http, https und so weiter wird's dann knifflig ;-)

(Falls jemand n schönes, kompaktes Ruleset für iptables hat, das nur
"saubere" Anfragen dieser Art raus lässt und Trojaner einsperrt - her damit!
:-)

> In der Praxis sind solche Firewalls oft zu sehen, auch hier, als ich
> in die Firma kam.

alumni.tu-berlin.de ist ne Firma? ;-)

> Gott sei Dank bin ich fuer die internen Windosen nicht zustaendig,
> hier geht gerade heute wieder eine Bitte rum, einen aufgetauchten
> Virus auf jeder Kiste lokal zu bekaempfen, weil der
> Exchange&Proxyserver keinen aktuellen Virenscanner hatte:-(

Welchen (für privat kostenlosen) Virenscanner würdest Du/würdet Ihr denn für
nen Linux-Mailproxy (fetchmail/qpopper/sendmail, Alternativen für die ersten
beiden willkommen) empfehlen - falls es sowas gibt?

Carsten




Mehr Informationen über die Mailingliste linux-l