[linux-l] iptables (Eheamals: Fedora3 Firewall)

Olaf Radicke olaf_rad at gmx.de
Di Nov 15 14:07:36 CET 2005


Am Dienstag, 15. November 2005 03:40 schrieb Peter Ross:
> Olaf Radicke wrote:
> > Das ist Linux (Unix) speziefisch. Unter Windows wird es kein
> > /etc/services
>
> Nicht unter /etc, aber die Datei gibt es.
>
> >> Das ist wiegesagt die "alte Schule", heutzutage macht man das
> >> wesentlich sauberer via Connection Tracking, das ich mir nochmal
> >> ansehen werde.
> >
> > Noch nichts von gehört.
>
> http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO-7.ht
>ml#ss7.3

...Ah-ha.

> Mal ohne Jux.. Ein Paketfilter, gewartet von jemandem, der bei notwendigen
> Grundlagen (wie z.B. Connection tracking oder wie eine TCP-Verbindung
> aufgesetzt wird, die TCP-Flags, Fragmentierung, Probleme mit
> Multiport-Connections etc.) nicht sattelfest ist, ist nicht unbedingt
> einer, dem man allzuviel Vertrauen schenken kann. 

Habe ich auch nie behauptet. Auf mein "Können" ist aber (zum Glück) niemand 
angewiesen. Da ich der einzigste auf der Maschine bin, kann ich den Job aber 
auch nicht abschieben.

Vielleicht gibts du mir nun Recht, das es für meinen Fall besser währe, ein 
Tool zu haben, wo ich meine Häkchen machen kann, bei den Diensten, die ich 
nach außen anbieten/zulassen will.

> Schlimmstenfalls 
> verfuehrt er dazu, sich dahinter sicher zu fuehlen und zu schludern,
> waehrend in Wirklichkeit davor grosse Loecher klaffen.

Da kannst du beruhigt sein. Ich fühle mich nicht sicher, mit Dingen die ich 
nicht verstehe - wie iptables z.B.. Deswegen überprüfe ich das Ergebnis auch 
mit scaning. 

> Das habe ich mir nicht ausgedacht, dass habe ich schon mehr als einmal
> gesehen, dass Leute in Panik verfielen, als alles zu spaet war, das
> private Netz z.B. fleissig Viren verschickte oder ein nach aussen hin
> erreichbarer Proxy als Spamrelay benutzt wurde - bis zu einem Punkt, wo
> der "normale" Traffic nicht mehr durchkam und die rechnung explodierte.

Ich habe alle Dienste gestoppt und deinstalliert, die nicht laufen sollten, 
oder deren Conf ich nicht verstand. Da ich der einzigste bin auf dem Rechner, 
kann ich mir das leisten.

> Ein bisschen rumspielen und lernen ist gut, aber ohne Grundlagen geht es
> nicht. lese ein bisschen mehr ueber Netzwerke als nur ein
> ipfilter-Regeln-HowTo.

Ein bisschen ist gut. Es gibt Tonnen von Büchern darüber. Allein das Thema 
Mail-Server reicht um ein mittelgroßen Lieferwagen zu füllen. 

> Es ist wie Autofahren - das Gefuehl "ich kann das" stellt sich nach ein
> paar Mal fahren ein, aber ohne Theorieunterricht kommt man halt in
> Situationen, wo es kracht.

Das Problem ist nur, das es z.t. genau so schwer ist zu verstehen, was das 
theoretische gesülze im einigen HowTo's mit meinem praktischen Problem zu tun 
hat,  wie das theoretische gesülze selbst zu verstehen.

Deshalb ist es immer besser es an konkreten Beispielen zu erklären. Also ein 
"Netzwerk-Kochbuch". 

Gruß
Olaf Radicke



Mehr Informationen über die Mailingliste linux-l