Debian Sarge Firewall
Guten Tag Ich teste zum ersten mal Debian Sarge. Ich habe vorher immer mit SuSe zu tun gehabt. Jetzt möchte aber fast alle Server auf Debian umstellen, das Problem was ich jetzt nur noch habe ist, was für eine Firewall soll ich verwenden? Bei SuSe gabe es die SuSe2firewall, basierte auf iptables! Gibt es sowas ähnliches auch für Debian oder muss ich alles von Hand schreiben? Mit freundlichen Grüßen Lennart Mordek -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
Hallo Lennart Lennart Mordek wrote: Guten Tag Ich teste zum ersten mal Debian Sarge. Ich habe vorher immer mit SuSe zu tun gehabt. Jetzt möchte aber fast alle Server auf Debian umstellen, das Problem was ich jetzt nur noch habe ist, was für eine Firewall soll ich verwenden? Bei SuSe gabe es die SuSe2firewall, basierte auf iptables! Gibt es sowas ähnliches auch für Debian oder muss ich alles von Hand schreiben? Mit freundlichen Grüßen Lennart Mordek Ich verwende Arno's Iptables (http://rocky.molphys.leidenuniv.nl/), die ist sehr einfach zu konfiguerieren (aus meiner Sicht besser als die SuSE2firewall) und entspricht in etwa der SuSE-Lösung Installationshinweise sind im tgz-Archiv enthalten (es sind nur einige files zu kopieren) Gruss Pascal -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
Lennart Mordek [EMAIL PROTECTED] schrieb: Guten Tag Ich teste zum ersten mal Debian Sarge. Ich habe vorher immer mit SuSe zu tun gehabt. Jetzt möchte aber fast alle Server auf Debian umstellen, das Problem was ich jetzt nur noch habe ist, was für eine Firewall soll ich verwenden? Wozu brauchst Du einklich die 'Firewall'? Bei SuSe gabe es die SuSe2firewall, basierte auf iptables! Gibt es sowas Donnerwetter! ähnliches auch für Debian oder muss ich alles von Hand schreiben? Die gute Nachricht: iptables gibt es auch unter Debian. Warum auch nicht, sowohl SuSE Linux als auch GNU Debian/Linux verwenden 'Linux'. Die für Dich wohl schlechte Nachricht: 'SuSe2firewall' gibt es nicht unter Debian, was aber nicht wirklich schlecht ist, denn es gibt http://netfilter.org mit einer super Doku zu iptables. Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust, überlegst Du Dir, ob es nicht vielleicht besser wäre, die Server gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist mehr als fraglich. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
Hallo Lennart, Gibt es sowas ähnliches auch für Debian oder muss ich alles von Hand schreiben? Sowohl das Paket guarddog wie auch der fwbuilder (wesentlich leistungsfähiger, aber auch komplexer) sind grafisch bedienbare relativ unkryptische Lösungen. Reicht mir. Doku lesen musst Du trotzdem. Bei Guarddog ist eine gut verständliche Dioku dabei. Mit freundlichen Grüßen Lennart Mordek Herzliche Grüße, Christoph -- True misery for a man is when there are no more problems to be solved. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
Vielen Dank für eure Tipps, ich werde einiges ausprobieren. Mit einem kann mich nur nicht anfreunden mit der Aussage vom Herr Kretschmer! Zitat (bzw siehe unten): Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust, berlegst Du Dir, ob es nicht vielleicht besser wre, die Server gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist mehr als fraglich. Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht Mit freundlichen Grüßen Lennart Mordek - Original Message - From: Andreas Kretschmer [EMAIL PROTECTED] To: debian-user-german@lists.debian.org Sent: Friday, May 06, 2005 11:35 AM Subject: Re: Debian Sarge Firewall Lennart Mordek [EMAIL PROTECTED] schrieb: Guten Tag Ich teste zum ersten mal Debian Sarge. Ich habe vorher immer mit SuSe zu tun gehabt. Jetzt möchte aber fast alle Server auf Debian umstellen, das Problem was ich jetzt nur noch habe ist, was für eine Firewall soll ich verwenden? Wozu brauchst Du einklich die 'Firewall'? Bei SuSe gabe es die SuSe2firewall, basierte auf iptables! Gibt es sowas Donnerwetter! ähnliches auch für Debian oder muss ich alles von Hand schreiben? Die gute Nachricht: iptables gibt es auch unter Debian. Warum auch nicht, sowohl SuSE Linux als auch GNU Debian/Linux verwenden 'Linux'. Die für Dich wohl schlechte Nachricht: 'SuSe2firewall' gibt es nicht unter Debian, was aber nicht wirklich schlecht ist, denn es gibt http://netfilter.org mit einer super Doku zu iptables. Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust, überlegst Du Dir, ob es nicht vielleicht besser wäre, die Server gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist mehr als fraglich. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [despammed] Re: Debian Sarge Firewall
Lennart Mordek [EMAIL PROTECTED] schrieb: Vielen Dank für eure Tipps, ich werde einiges ausprobieren. Mit einem kann mich nur nicht anfreunden mit der Aussage vom Herr Kretschmer! Zitat (bzw siehe unten): Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust, berlegst Du Dir, ob es nicht vielleicht besser wre, die Server gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist mehr als fraglich. Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Was bieten die Server für Dienste an, und was willst Du mit der 'Firewall' schützen? Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht Genau. Man kann die Kisten natürlich auch schlampig konfigurieren und eine $doll_sichere_firewall davor/darauf installieren. Machen auch genügend Windows-Spacken so, mit ZoniAlarm und Norton InSecure, und freuen sich über das ach so schöne Sicherheitsgefühl. Mit freundlichen Grüßen Lennart Mordek - Original Message - From: Andreas Kretschmer [EMAIL PROTECTED] Könntest Du das TOFU bitte abstellen? Danke. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DMZ [was: Debian Sarge Firewall]
Hallo Lennart, Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht meines Erachtens nach wollte Andreas damit auf eine DMZ anspielen. Statt vieler einzelner Firewalls lieber eine verwenden, die alle Server gleichzeitig bedient. Damit senkst du nicht nur den Arbeitsaufwand spürbar sondern kannst im Notfall auch schneller, weil zentral, reagieren, bzw. erheblich leichter DIE Lücke suchen. Eine sehr grundlegende Vorstellung davon gibt Wikipedia [1]. Mit ein bißchen mehr google'n findest du da mit Sicherheit auch noch mehr Informationen dazu. Viele Grüße, Marco [1] http://de.wikipedia.org/wiki/DMZ PS: Nachricht eben versehentlich als PM geschickt. Sorry @ Lennart -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [despammed] Re: Debian Sarge Firewall
Auf dem Server läuft ein WebServer (apache2 und jboss) dazu brauch ich noch Port 8080, ein IPSec Dienst und noch postfix, natürlich noch ssh :) Mehr nicht! Und da der Server bei einem Webhoster steht wäre eine Firewall nicht ganz abwegig! MfG Lennart -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
On Fri, May 06, 2005 at 11:50:35AM +0200, Lennart Mordek wrote: Vielen Dank für eure Tipps, ich werde einiges ausprobieren. Mit einem kann mich nur nicht anfreunden mit der Aussage vom Herr Kretschmer! Zitat (bzw siehe unten): Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust, berlegst Du Dir, ob es nicht vielleicht besser wre, die Server gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist mehr als fraglich. Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht Die Frage ist warum brauchst du iptables-Regeln? Ich persoenlich bevorzuge es die Dienste so sicher wie moeglich zu konfigurieren and IPtables Regeln nur wenn es ueberhaupt nicht anders geht. Grund ist dass sauber konfigurierte Dienste schwerer zu attackieren sind und ein Wust von IPtables Regeln unuebersichtlich und fehleranfaellig ist. Erste Grundregel ist deshalb, die Dienste nur aussen verfuegbar machen wenn es noetig ist. Ein Mysql-Server der nur von PHP fuer die Website benoetigt wird muss nicht nach aussen verfuegbar sein. Es reicht ihn lokal erreichbar zu machen. Zum entfernten administrieren kann man notfalls einen SSH-Tunnel starten. So muss man dann keine IPtables Regeln dafuer aufsetzen. Alles in allem kann ich Andreas nur zustimmen auch wenn seine Antwort vielleicht etwas kurz formuliert war. Michael -- Escape the Java Trap with GNU Classpath! http://www.gnu.org/philosophy/java-trap.html Join the community at http://planet.classpath.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Fw: [OT] DMZ [was: Debian Sarge Firewall]
Hallo Marco Eine DMZ haben wir, aber wir haben auch 2 PCs bei einem Webhoster und da sieht es mit einer DMZ schlecht aus :) Deshalb. Aber danke für den Hinweis MfG Lennart me too @ Marco -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
On Fri, May 06, 2005 at 11:24:48AM +0200, Lennart Mordek wrote: Jetzt möchte aber fast alle Server auf Debian umstellen, das Problem was ich jetzt nur noch habe ist, was für eine Firewall soll ich verwenden? Bei SuSe gabe es die SuSe2firewall, basierte auf iptables! Gibt es sowas ähnliches auch für Debian oder muss ich alles von Hand schreiben? Noch ein Front-End für iptables: http://vuurmuur.sourceforge.net/ Scheint recht übersichtlich zu sein, habs allerdings selbst kaum getestet. Gruß Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DMZ [was: Debian Sarge Firewall]
Marco Döhring [EMAIL PROTECTED] schrieb: Hallo Lennart, Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht meines Erachtens nach wollte Andreas damit auf eine DMZ anspielen. Statt Jein. Ein Server, der z.B. nur HTTP anbietet und sonst keine anderen Dienste, braucht genau und exakt keine Firewall (Paketfilter). Wozu auch? Und wenn auf der Kisten dann z.B. PHP läuft und unsichere Scripte zum Einsatz kommen, schützt ein Paketfilter, der 80 erlaubt und alles andere wegwirft, auch nicht davor, das diese unsicheren Scripte mißbraucht werden könnten. Und genau deshalb fragte ich im ersten Posting, wozu er die Firewall braucht. Die Antwort auf diese Fragt steht noch aus. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [despammed] Re: Debian Sarge Firewall
Lennart Mordek [EMAIL PROTECTED] schrieb: Auf dem Server läuft ein WebServer (apache2 und jboss) dazu brauch ich noch Port 8080, ein IPSec Dienst und noch postfix, natürlich noch ssh :) 8080, vermutlich ein Proxy, wofür? Von außen? IPSec, wenn die Kiste bei Provider steht, wofür? Postfix, von außen erreichbar? Abgesichert gegen SPAM-Mißbrauch? (SMTP-AUTH, ...)? SSH: welche Authentifizierung? Mehr nicht! Und da der Server bei einem Webhoster steht wäre eine Firewall nicht ganz abwegig! Wozu? Du hast Dienste auf 80, 8080, 25, 22 sowie IPSec. Das erlaubst Du. Alle anderen Ports auf der Kiste sind eh zu, Verbindungsanfragen daran würden so oder so abgelehnt werden. Mach Dir lieber Gedanken darüber, daß der Mailserver und das SSH nicht vergewaltigt werden können, ein Portfilter wird Dir bei _DIESER_ Aufgabe allerdings nicht helfen. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
Hallo Lennart, die Debian-Dokumantation bietet ein Sicherheits-Manual (Paket harden-doc), das einzelne Schritte zur Absicherung eines Systems beschreibt. Dort wird aufgezeigt, dass eine Firewall zur Absicherung das letzte Mittel sein sollte. Es gibt viel wichtigere Dinge, die man beachten muss. Du solltest nur die Dienste laufen lassen, die du auch wirklich brauchst. Außerdem ist es Pflicht regelmaäßig Sicherheitspatches einzuspielen. Da du ja einen Apache betreiben möchtest, ist es auch sehr wichtig, dass dieser entsprechend konfiguriert ist -- dazu gibt es ja genug Literatur. Was ich damit sagen will: Man sollte nicht glauben, wenn eine Firewall auf einem System läuft, dass es dann automatisch sicher ist. Die Sicherheit eines Systems setzt sich aus mehreren Komponenten zusammenm, die alle beachtet werden müssen um ein möglichst sicherers System zu haben. Je nach Einsatzzweck kann eine Firewall mehr oder weniger Sinn machen. Aber es ist auf jeden Fall keine Rundum-Sorglos-Sicherheits-Lösung, wie es vielleicht manche Personal-Firewalls aus der Windows-Welt suggerieren. Cheers Andreas Am Freitag, den 06.05.2005, 11:50 +0200 schrieb Lennart Mordek: Vielen Dank für eure Tipps, ich werde einiges ausprobieren. Mit einem kann mich nur nicht anfreunden mit der Aussage vom Herr Kretschmer! Zitat (bzw siehe unten): Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust, berlegst Du Dir, ob es nicht vielleicht besser wre, die Server gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist mehr als fraglich. Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht Mit freundlichen Grüßen Lennart Mordek - Original Message - From: Andreas Kretschmer [EMAIL PROTECTED] To: debian-user-german@lists.debian.org Sent: Friday, May 06, 2005 11:35 AM Subject: Re: Debian Sarge Firewall Lennart Mordek [EMAIL PROTECTED] schrieb: Guten Tag Ich teste zum ersten mal Debian Sarge. Ich habe vorher immer mit SuSe zu tun gehabt. Jetzt möchte aber fast alle Server auf Debian umstellen, das Problem was ich jetzt nur noch habe ist, was für eine Firewall soll ich verwenden? Wozu brauchst Du einklich die 'Firewall'? Bei SuSe gabe es die SuSe2firewall, basierte auf iptables! Gibt es sowas Donnerwetter! ähnliches auch für Debian oder muss ich alles von Hand schreiben? Die gute Nachricht: iptables gibt es auch unter Debian. Warum auch nicht, sowohl SuSE Linux als auch GNU Debian/Linux verwenden 'Linux'. Die für Dich wohl schlechte Nachricht: 'SuSe2firewall' gibt es nicht unter Debian, was aber nicht wirklich schlecht ist, denn es gibt http://netfilter.org mit einer super Doku zu iptables. Aber bevor Du jetzt gleich loslegst und Firewall-Skripte baust, überlegst Du Dir, ob es nicht vielleicht besser wäre, die Server gescheit zu konfigurieren, denn eine 'Firewall' auf einem 'Server' ist mehr als fraglich. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DMZ [was: Debian Sarge Firewall]
8080 brauch ich nicht für einen Proxy, ist für Geräte, die sind so konfiguriert. IPSec brauche ich um Backups zu uns ins GE zu bekommen! Postfix brauch ich nur um eMails vom Server zu verschicken, keine empfangen! Der Portfilter bzw iptables Logen die Zugriffe mit und sperren nach gewissen versuchen die IP. Ich mach jetzt Mittag. Wir können gerne nach her noch weiter diskutieren :) MfG Lennart -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DMZ [was: Debian Sarge Firewall]
On Friday 06 May 2005 12:13, Andreas Kretschmer wrote: Marco Döhring [EMAIL PROTECTED] schrieb: Hallo Lennart, Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Na ja. Jeden eigentlich seine Sache was er mit seinem Serer macht meines Erachtens nach wollte Andreas damit auf eine DMZ anspielen. Statt Jein. Ein Server, der z.B. nur HTTP anbietet und sonst keine anderen Dienste, braucht genau und exakt keine Firewall (Paketfilter). Wozu auch? Vielleicht weil man einem Paketfilter auch abgehenden Traffic kontrollieren kann? Nicht über alle Exploits bekommt man den direkt root-Zugriff auf System um den Paketfilter konfigurieren. Aber der Missbrauch der Maschine für andere Zwecke (Attacke auf dritten Rechner z.B.) ist möglich. Außerdem möchte man ggf. lokale Benutzer auch daran hindern Dienste zu nutzen. Und nicht immer ist der Einsatz einer vorgeschalteten Firewall möglich. Alles im allem kommt es auf das Einsatzszenario an. Gruß Thomas -- IRC: TomseDive Jabber: [EMAIL PROTECTED] ICQ: 4843585 pgpygwc5kMFoN.pgp Description: PGP signature
Re: [OT] DMZ [was: Debian Sarge Firewall]
Lennart Mordek [EMAIL PROTECTED] schrieb: 8080 brauch ich nicht für einen Proxy, ist für Geräte, die sind so konfiguriert. IPSec brauche ich um Backups zu uns ins GE zu bekommen! Postfix brauch ich Das geht möglicherweise auch über einen SSH-Tunnel. SSH wolltest Du eh, Du würdest einen Dienst und damit einen Angriffspunkt sparen. nur um eMails vom Server zu verschicken, keine empfangen! Der Portfilter bzw Dann braucht der nicht nach außen lauschen. Außerdem gäbe es möglicherweise kleinere und schlankere Alternativen als ein kompletter Mailserver. iptables Logen die Zugriffe mit und sperren nach gewissen versuchen die IP. Wenn ich Dir die gewissen Anzahl von Verbindugsversuchen mit gefakter Absender-IP Deines DNS-Servers schicke, hast Du ein Problem. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DMZ [was: Debian Sarge Firewall]
Schöne Diskution was wir hier führen. Um das alles nun mal zum Ende zu bringen, Ich werde auf jedenfall eine Firewall installieren bzw einrichten, um mit zu loggen und vergessene Dienste zu sperren, des weiteren werde ich die angebotenen Dienste so sicher machen wie möglich. IPSec brauche ich definitiv, es hat mehrere Gründe die aber ihr nicht näher erläutern möchte. Danke für eure teilnahme und zahlenmäßigen Vorschläge, wie man eine Firewall konfigurieren kann. Vielen Dank. Wünsche noch einen schönen Tag ein schönes WE MfG Lennart -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Sarge Firewall
Lennart Mordek [EMAIL PROTECTED] wrote: Ich habe mehrere Server die direkt im Internet stehen, laut meiner Auffassung sollte die vielleicht eine Firewall haben oder nich? Zur Sicherheit! Wozu? Ein Dienst, der nicht läuft, bzw. ein Port, der dadurch nicht offen ist, wird durch eine Firewall davor auch nicht geschlossener. Ich habe ebenfalls diverse Server und Serverchen am Netz, eine Firewall brauche ich nur auf einem, weil dort ein Stück proprietärer Software nicht konfigurierbar ist, was sein Listen-Interface angeht. Dort muss ich dann leider mittels iptables den Zugriff von !127.0.0.1 abschotten, aber sonst? Offen sind meinst 80 und 443 über Apache, 25, 465 und 587 über Exim sowie 22 für ssh. Mehr nicht. Ob ich jetzt mittels einer Firewall alle Ports blocke und dann die obigen öffne, da macht überhaupt keinen Unterschied für die Sicherheit. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)