Re: Firewall und IGMP

2006-10-31 Diskussionsfäden Gerhard Wendebourg 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hi Ulf,

Dank fuer die Rueckmeldung;

> On Mon, Oct 30, 2006 at 03:29:59PM +0100, Gerhard Wendebourg wrote:

>> Sollte ich IGMP grundsaetzlich freigeben bzw. welche Probleme enstehen
>> mir andernfalls?
> 
> Je nach Typ kann $BOESER_BUBE Einfluß auf dein Routing nehmen.
> 
> Die meisten sind jedoch unproblematisch und sollten _nicht_ gefiltert
> werden.

Jetzt waere noch interessant, wie ich die unproblematischen Pakete
unterscheide von denen, die tatsaechlich mein Routing gefaehrden
koennen, was definitiv unerwuenscht und schaedlich waere, da im Netz
Server laufen, deren Erreichbarkeit relevant ist.

Das Ganze liegt hinter einem Router/Gateway, das von einer Fritzbox
abgewickelt wird, von der es leider keine genaueren Infos zur
Firewallfunktion gibt, die also in dieser Hinsicht nicht als
vertrauenswuerdig gelten kann.

Im Uebrigen bauen wir ein Xen-System auf, das mit einer virtuellen
Bridge arbeitet und ich vermute, dass die beobachteten IGMP-Packages mit
deren Betrieb zusammenhaengt.

Auf dem Xen-System sollen mehrere Sub-Systeme laufen, auf denen wiederum
verschiedene Server in Betrieb sind, d.h. die abgeschottet gegeneinander
laufen aber sich eine Maschine teilen, so dass es insgesamt nur die
Fritzbox und das XenSystem gibt.

soweit zu unserem Arrangement die Firewall betreffend

Gruesse / GW
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFR2wXWgcH1Ne3oGIRAoZKAJ9DS2t5rd31d3mciBMqx8cxkCJIRACfZ/1M
xfFGcuxTUkkuafdrUsDkzyY=
=HwqM
-END PGP SIGNATURE-


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Firewall und IGMP

2006-10-30 Diskussionsfäden Ulf Volmer 
On Mon, Oct 30, 2006 at 03:29:59PM +0100, Gerhard Wendebourg wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Moin, moin,
> 
> ist hier bekannt, wie IGMP firewalltechnisch zu behandeln ist?

Ja.

> Sollte ich IGMP grundsaetzlich freigeben bzw. welche Probleme enstehen
> mir andernfalls?

Je nach Typ kann $BOESER_BUBE Einfluß auf dein Routing nehmen.

Die meisten sind jedoch unproblematisch und sollten _nicht_ gefiltert
werden.

cu
ulf

-- 
Ulf Volmer
[EMAIL PROTECTED]
www.u-v.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Firewall und IGMP

2006-10-30 Diskussionsfäden Gerhard Wendebourg 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Moin, moin,

ist hier bekannt, wie IGMP firewalltechnisch zu behandeln ist?
Sollte ich IGMP grundsaetzlich freigeben bzw. welche Probleme enstehen
mir andernfalls?
Besteht irgendein Gefaehrdungdpotenzial durch IGMP/Multicast oder laesst
sich das Thema in diesem Zusammenhang voellig ignorieren?

Dank fuer Hinweise

Gruss / GW
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFRgxkWgcH1Ne3oGIRAgn9AJ46Dw4lyYxtrc4KK+Wx0v1OZsrnowCgiWfP
GpPOcJWaJcYkxODA0WCOFvs=
=0Nvp
-END PGP SIGNATURE-


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: firewall problem, exim4 start

2006-10-26 Diskussionsfäden Ulf Volmer 
On Fri, Oct 27, 2006 at 05:16:01AM +0200, Harald Gutmann wrote:
> hallo!
> 
> ich habe mir gerade ein kleines iptables script gebastelt, welches u.a.
> die policy für input auf drop setzt.
> localhost, und hostname sind aber erlaubt (alles)

Firewall sind dazu da, um Netze zu trennen. Wieviele Netze laufen auf
der Kiste auf?

> mit firewall:
> [EMAIL PROTECTED]:~# time /etc/init.d/exim4 restart
> Restarting MTA: exim4.
> 
> real1m2.244s

Lass mich raten, 2.244s braucht exim4, 60s braucht ... s.u.

> [EMAIL PROTECTED]:~# iptables -L
> Chain INPUT (policy DROP)
> target prot opt source   destination
> ACCEPT all  --  localhostanywhere
> ACCEPT all  --  anywhere anywhereMAC
> 00:11:2F:95:46:A0

Ah ja, und DNS geht automatisch?

> warum braucht in dem falle der exim4 so extrem viel länger zum starten,
> als ohne firewall, es dreht sich da ja immerhin um 1minute?

DNS- Timeout.

Konfiguriere iptables korrekt, oder deaktiviere es, du brauchst es
nicht.

cu
ulf

-- 
Ulf Volmer
[EMAIL PROTECTED]
www.u-v.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

firewall problem, exim4 start

2006-10-26 Diskussionsfäden Harald Gutmann 
hallo!

ich habe mir gerade ein kleines iptables script gebastelt, welches u.a.
die policy für input auf drop setzt.
localhost, und hostname sind aber erlaubt (alles)

nun ist mir aufgefallen, dass das booten um etliches länger dauert als
vorher.
das problem dürfte irgendwo am exim4 startup beim booten liegen, der
braucht ungemein länter als ohne firewall.

hier mal ein paar "times":

mit firewall:
[EMAIL PROTECTED]:~# time /etc/init.d/exim4 restart
Restarting MTA: exim4.

real1m2.244s
user0m0.161s
sys 0m0.052s
[EMAIL PROTECTED]:~#

ohne firewall:
[EMAIL PROTECTED]:~# time /etc/init.d/exim4 restart
Restarting MTA: exim4.

real0m2.233s
user0m0.163s
sys 0m0.052s
[EMAIL PROTECTED]:~#   

hier noch die firewall rules, die im moment beim ersten exim4 restart
aktiv waren:

[EMAIL PROTECTED]:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source   destination
ACCEPT all  --  localhostanywhere
ACCEPT all  --  anywhere anywhereMAC
00:11:2F:95:46:A0

Chain FORWARD (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination
[EMAIL PROTECTED]:~#

exim4 ist nur auf lokale mailzustellung konfiguriert.
system ist ein aktuelles sarge. (kernel 2.6.8-3-686)

sonstige informationen notwendig?


warum braucht in dem falle der exim4 so extrem viel länger zum starten,
als ohne firewall, es dreht sich da ja immerhin um 1minute?




mfg harald


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: firewall will nicht mit Kernel Version >2.6.17.13

2006-10-26 Diskussionsfäden Ulf Volmer 
On Thu, Oct 26, 2006 at 09:33:21PM +0200, Ulf Volmer wrote:
> On Thu, Oct 26, 2006 at 09:22:59PM +0200, Stefan Schilling wrote:
> 
> > > Alternativ koenntest du ja auch mal die Fehlermeldungen hier posten.
> > 
> > Das ist es ja. Das Ding läuft einfach hoch. Ohne Fehlermeldung ohne
> > zu klagen. Nur dicht ist die Kiste und ich sitz wie ein Elch davor.
> > Zumal ich sie jetzt nicht aktivieren kann/mag...denn dann komm ich ja
> > selber nicht mehr drauf.
> 
> Was wuerde dagegen sprechen, etwas mehr Infos rauszuruecken.
> 
> Der Output von 'iptables -L -v' und 'lsmod' waere ein Anfang.

Ingrid: Sowas kann man prima in ein init- Skript packen.

cu
ulf

-- 
Ulf Volmer
[EMAIL PROTECTED]
www.u-v.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: firewall will nicht mit Kernel Version >2.6.17.13

2006-10-26 Diskussionsfäden Ulf Volmer 
On Thu, Oct 26, 2006 at 09:22:59PM +0200, Stefan Schilling wrote:

> > Alternativ koenntest du ja auch mal die Fehlermeldungen hier posten.
> 
> Das ist es ja. Das Ding läuft einfach hoch. Ohne Fehlermeldung ohne
> zu klagen. Nur dicht ist die Kiste und ich sitz wie ein Elch davor.
> Zumal ich sie jetzt nicht aktivieren kann/mag...denn dann komm ich ja
> selber nicht mehr drauf.

Was wuerde dagegen sprechen, etwas mehr Infos rauszuruecken.

Der Output von 'iptables -L -v' und 'lsmod' waere ein Anfang.

cu
ulf

-- 
Ulf Volmer
[EMAIL PROTECTED]
www.u-v.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: firewall will nicht mit Kernel Version >2.6.17.13

2006-10-26 Diskussionsfäden Stefan Schilling 
Guten Tag Andreas Pakulat,

Hi Andreas!

am Donnerstag, 26. Oktober 2006 um 10:00 schrieben Sie:

> On 26.10.06 09:25:57, Stefan Schilling wrote:
>> am Mittwoch, 25. Oktober 2006 um 20:38 schrieben Sie:
>> > On 25.10.06 20:21:44, Stefan Schilling wrote:
>> >> Ich habe ein Problem mit meiner iptables basierten Firehol. Solange
>> >> ich folgende Konfiguration habe funktioniert ein Zugriff (so
>> >> leidlich...siehe meine Listenanfrage "Firehol läßt nur externe
>> >> Zugriffe zu; lokales Netz ist ausgesperrt" )
>> >> 
>> >> debian:/var/log# uname -r
>> >> 2.6.17.13
>> >> debian:/var/log# iptables -V
>> >> iptables v1.2.11
>> >> debian:/var/log# firehol --version
>> >> : firehol.sh,v 1.231 2004/11/01 00:13:00 ktsaou Exp $
>> >> (C) Copyright 2003, Costa Tsaousis <[EMAIL PROTECTED]>
>> >> FireHOL is distributed under GPL.
>> >> 
>> >> Änder ich jetzt jedoch die Kernelversion auf eine beliebige Version
>> >> größer als 2.6.17.13 wird der Rechner komplett dicht gemacht. Leider
>> >> kann ich derzeit nicht sagen, was
>> 
>> > Hmm, vllt. solltest du mal den Autor des Programms fragen, oder einen
>> > Bugreport schreiben? 
>> 
>> Aktuell sind wir bei Vers. 2.6.18.1 ... müsste das dann nicht schon
>> noch jemandem aufgefallen sein? Ich mein, firehol schreibt ja nur die
>> Regeln, ausgeführt werden sie doch von iptables. Und die sind beide
>> auf dem neuesten Stand (für sarge).

> Aehm, es sind aber vmtl. nicht gar so viele Leute dabei ihr Sarge mit
> 2.6.18 zu betreiben.

hmh, mag sicher sein.

> Vllt. fehlt dir auch einfach nur ne Option in der
> Konfiguration, IIRC hatte sich da was bei iptables geaendert... 

tja, genau das denke ich auch. vlt. habe ich auch nur ein Modul
übersehen oder sonst sowas. Deswegen frag ich ja ... vlt. hatte das
Problem ja schon jemand.

> Alternativ koenntest du ja auch mal die Fehlermeldungen hier posten.

Das ist es ja. Das Ding läuft einfach hoch. Ohne Fehlermeldung ohne
zu klagen. Nur dicht ist die Kiste und ich sitz wie ein Elch davor.
Zumal ich sie jetzt nicht aktivieren kann/mag...denn dann komm ich ja
selber nicht mehr drauf.

> Andreas

Stefan




-- 
Mit freundlichen Grüßen
Stefan Schilling
mailto:[EMAIL PROTECTED]

Re: firewall will nicht mit Kernel Version >2.6.17.13

2006-10-26 Diskussionsfäden Andreas Pakulat 
On 26.10.06 09:25:57, Stefan Schilling wrote:
> am Mittwoch, 25. Oktober 2006 um 20:38 schrieben Sie:
> > On 25.10.06 20:21:44, Stefan Schilling wrote:
> >> Ich habe ein Problem mit meiner iptables basierten Firehol. Solange
> >> ich folgende Konfiguration habe funktioniert ein Zugriff (so
> >> leidlich...siehe meine Listenanfrage "Firehol läßt nur externe
> >> Zugriffe zu; lokales Netz ist ausgesperrt" )
> >> 
> >> debian:/var/log# uname -r
> >> 2.6.17.13
> >> debian:/var/log# iptables -V
> >> iptables v1.2.11
> >> debian:/var/log# firehol --version
> >> : firehol.sh,v 1.231 2004/11/01 00:13:00 ktsaou Exp $
> >> (C) Copyright 2003, Costa Tsaousis <[EMAIL PROTECTED]>
> >> FireHOL is distributed under GPL.
> >> 
> >> Änder ich jetzt jedoch die Kernelversion auf eine beliebige Version
> >> größer als 2.6.17.13 wird der Rechner komplett dicht gemacht. Leider
> >> kann ich derzeit nicht sagen, was
> 
> > Hmm, vllt. solltest du mal den Autor des Programms fragen, oder einen
> > Bugreport schreiben? 
> 
> Aktuell sind wir bei Vers. 2.6.18.1 ... müsste das dann nicht schon
> noch jemandem aufgefallen sein? Ich mein, firehol schreibt ja nur die
> Regeln, ausgeführt werden sie doch von iptables. Und die sind beide
> auf dem neuesten Stand (für sarge).

Aehm, es sind aber vmtl. nicht gar so viele Leute dabei ihr Sarge mit
2.6.18 zu betreiben. Vllt. fehlt dir auch einfach nur ne Option in der
Konfiguration, IIRC hatte sich da was bei iptables geaendert... 

Alternativ koenntest du ja auch mal die Fehlermeldungen hier posten.

Andreas

-- 
You learn to write as if to someone else because NEXT YEAR YOU WILL BE
"SOMEONE ELSE."


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: firewall will nicht mit Kernel Version >2.6.17.13

2006-10-26 Diskussionsfäden Stefan Schilling 
Guten Tag Andreas Pakulat,

am Mittwoch, 25. Oktober 2006 um 20:38 schrieben Sie:

> On 25.10.06 20:21:44, Stefan Schilling wrote:
>> Ich habe ein Problem mit meiner iptables basierten Firehol. Solange
>> ich folgende Konfiguration habe funktioniert ein Zugriff (so
>> leidlich...siehe meine Listenanfrage "Firehol läßt nur externe
>> Zugriffe zu; lokales Netz ist ausgesperrt" )
>> 
>> debian:/var/log# uname -r
>> 2.6.17.13
>> debian:/var/log# iptables -V
>> iptables v1.2.11
>> debian:/var/log# firehol --version
>> : firehol.sh,v 1.231 2004/11/01 00:13:00 ktsaou Exp $
>> (C) Copyright 2003, Costa Tsaousis <[EMAIL PROTECTED]>
>> FireHOL is distributed under GPL.
>> 
>> Änder ich jetzt jedoch die Kernelversion auf eine beliebige Version
>> größer als 2.6.17.13 wird der Rechner komplett dicht gemacht. Leider
>> kann ich derzeit nicht sagen, was

> Hmm, vllt. solltest du mal den Autor des Programms fragen, oder einen
> Bugreport schreiben? 

Aktuell sind wir bei Vers. 2.6.18.1 ... müsste das dann nicht schon
noch jemandem aufgefallen sein? Ich mein, firehol schreibt ja nur die
Regeln, ausgeführt werden sie doch von iptables. Und die sind beide
auf dem neuesten Stand (für sarge).

Aber ich kann ihn ja mal anschreiben.

Danke dir nochmals.

ciao,
Stefan

> Andreas

Re: firewall will nicht mit Kernel Version >2.6.17.13

2006-10-25 Diskussionsfäden Andreas Pakulat 
On 25.10.06 20:21:44, Stefan Schilling wrote:
> Ich habe ein Problem mit meiner iptables basierten Firehol. Solange
> ich folgende Konfiguration habe funktioniert ein Zugriff (so
> leidlich...siehe meine Listenanfrage "Firehol läßt nur externe
> Zugriffe zu; lokales Netz ist ausgesperrt" )
> 
> debian:/var/log# uname -r
> 2.6.17.13
> debian:/var/log# iptables -V
> iptables v1.2.11
> debian:/var/log# firehol --version
> : firehol.sh,v 1.231 2004/11/01 00:13:00 ktsaou Exp $
> (C) Copyright 2003, Costa Tsaousis <[EMAIL PROTECTED]>
> FireHOL is distributed under GPL.
> 
> Änder ich jetzt jedoch die Kernelversion auf eine beliebige Version
> größer als 2.6.17.13 wird der Rechner komplett dicht gemacht. Leider
> kann ich derzeit nicht sagen, was

Hmm, vllt. solltest du mal den Autor des Programms fragen, oder einen
Bugreport schreiben? 

Andreas

-- 
You prefer the company of the opposite sex, but are well liked by your own.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

firewall will nicht mit Kernel Version >2.6.17.13

2006-10-25 Diskussionsfäden Stefan Schilling 
Guten Tag debian-user-german debian-user-german,

Hallo!

Ich habe ein Problem mit meiner iptables basierten Firehol. Solange
ich folgende Konfiguration habe funktioniert ein Zugriff (so
leidlich...siehe meine Listenanfrage "Firehol läßt nur externe
Zugriffe zu; lokales Netz ist ausgesperrt" )

debian:/var/log# uname -r
2.6.17.13
debian:/var/log# iptables -V
iptables v1.2.11
debian:/var/log# firehol --version
: firehol.sh,v 1.231 2004/11/01 00:13:00 ktsaou Exp $
(C) Copyright 2003, Costa Tsaousis <[EMAIL PROTECTED]>
FireHOL is distributed under GPL.

Änder ich jetzt jedoch die Kernelversion auf eine beliebige Version
größer als 2.6.17.13 wird der Rechner komplett dicht gemacht. Leider
kann ich derzeit nicht sagen, was

debian:/var/log# iptables -L

ausgeben würde; ich hab das vor einigen Tagen gemacht; jetzt bin ich
auf einen remote Zugang angewiesen.
Hat sich da irgendwas geändert? Ich finde es beängstend, dass ich auf
dieser Kernelversion stehen bleibe (-n soll).

Danke für Eure Hilfe.
Falls noch Fragen offen sind, bitte einfach schreiben. Ich bin
allerdings ab So. 29.10. erstmal für ca. 1 Woche nicht erreichbar.

Danke nochmal und einen schönen Abend noch.

cu,
Stefan

-- 
Mit freundlichen Grüßen
Stefan Schilling
mailto:[EMAIL PROTECTED]

Re: Application-level-firewall

2006-10-06 Diskussionsfäden Ulf Volmer 
On Fri, Oct 06, 2006 at 07:08:43PM +0200, Thomas Gräber wrote:
> Am Freitag, 6. Oktober 2006 09:57 schrieb Paul Puschmann:
> > > snort macht soweit ich weiß nur Intrusion Detection, kann bzw. will
> > > sie aber nicht verhindern.
> > > snort-inline kann auch den Prevention Part übernehmen.
> >
> > Okay. ich wusste halt nur, dass Snort involviert war.
> > Wie die Einbindung erfolgt, weiß ich leider nicht.
> > Die Richtung stimmte immerhin :)
> 
> Snort kann es erkennen, aber nicht verhindern? Das nützt mir ja nicht 
> wirklich 
> was.

Snort reagiert so, wie du es ihm beigebracht hast. Ob eine automatische
Reaktion allerdings sinnvoll ist, ist eine andere Frage.

cu
ulf

-- 
Ulf Volmer
[EMAIL PROTECTED]
www.u-v.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Application-level-firewall

2006-10-06 Diskussionsfäden Thomas Gräber 
Am Freitag, 6. Oktober 2006 09:57 schrieb Paul Puschmann:
> On Fri, Oct 06, 2006 at 09:33:46AM +0200, Andreas Putzo wrote:
> > On Oct 06, Paul Puschmann wrote:
> > > Meinst die Funktion, die bei Astaro z.B. mit "Intrusion Prevention"
> > > bezeichnet wird?
> > >
> > > snort ist dann dein Freund.
> >
> > snort macht soweit ich weiß nur Intrusion Detection, kann bzw. will
> > sie aber nicht verhindern.
> > snort-inline kann auch den Prevention Part übernehmen.
>
> Okay. ich wusste halt nur, dass Snort involviert war.
> Wie die Einbindung erfolgt, weiß ich leider nicht.
> Die Richtung stimmte immerhin :)

Snort kann es erkennen, aber nicht verhindern? Das nützt mir ja nicht wirklich 
was.
Mir ging es konkret eigentlich um so ziemlich alles, was eine richtige 
Firewall von einem einfachen Paketfilter unterscheidet. 
L7-Filter kenne ich schon, da wird aber überall davor gewarnt, dass zum 
blockieren einzusetzen, wegen false positives.

Mfg,
Thomas

Re: Application-level-firewall

2006-10-06 Diskussionsfäden Paul Puschmann 
On Fri, Oct 06, 2006 at 09:33:46AM +0200, Andreas Putzo wrote:
> On Oct 06, Paul Puschmann wrote:
> > 
> > Meinst die Funktion, die bei Astaro z.B. mit "Intrusion Prevention"
> > bezeichnet wird?
> > 
> > snort ist dann dein Freund.
> 
> snort macht soweit ich weiß nur Intrusion Detection, kann bzw. will
> sie aber nicht verhindern.
> snort-inline kann auch den Prevention Part übernehmen.

Okay. ich wusste halt nur, dass Snort involviert war. 
Wie die Einbindung erfolgt, weiß ich leider nicht.
Die Richtung stimmte immerhin :)

PP 


signature.asc
Description: Digital signature

Re: Application-level-firewall

2006-10-06 Diskussionsfäden Andreas Putzo 
On Oct 06, Paul Puschmann wrote:
> 
> Meinst die Funktion, die bei Astaro z.B. mit "Intrusion Prevention"
> bezeichnet wird?
> 
> snort ist dann dein Freund.

snort macht soweit ich weiß nur Intrusion Detection, kann bzw. will
sie aber nicht verhindern.
snort-inline kann auch den Prevention Part übernehmen.


-- 
regards,
Andreas Putzo

   


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Application-level-firewall

2006-10-05 Diskussionsfäden Paul Puschmann 
On Thu, Oct 05, 2006 at 05:59:05PM +0200, Thomas Gräber wrote:
> Hallo,
> 
> ich versuche gerade herauszufinden, ob es unter Linux auch möglich ist, 
> richtige Firewallfunktionen zu integrieren, z.B. Protokollanomalien, Buffer 
> overflows usw. Also das, was die meisten besseren Hardwarefirewalls auch 
> können, z.B. Cisco Pix. Weiß da evtl. jemand, wo ich dazu nähere Infos finden 
> könnte?

Meinst die Funktion, die bei Astaro z.B. mit "Intrusion Prevention"
bezeichnet wird?

snort ist dann dein Freund.

Paul


signature.asc
Description: Digital signature

Re: Application-level-firewall

2006-10-05 Diskussionsfäden Matthias Houdek 
Hallo Thomas Gräber, hallo auch an alle anderen

Application-Level-Firewall? Also auf OSI-Schicht 7?

Was willst du da prüfen? Ob die an Port 80 geschickten Daten auch 
wirklich http-Daten sind? Das sollte normaler Weise die Anwendung 
machen. 

Aber IIRC gibt es dafür auch einen Patch für iptables.

Oder meinst du das, was die PFWs unter Windows machen: "Programm XY 
versucht auf die Internetverbindung zuzugreifen. Darf es? [ja] / 
[nein]" ?

Donnerstag, 5. Oktober 2006 17:59 - Thomas Gräber wrote:
> Hallo,
>
> ich versuche gerade herauszufinden, ob es unter Linux auch möglich
> ist, richtige Firewallfunktionen zu integrieren, z.B.
> Protokollanomalien, Buffer overflows usw. 

Und was hat das mit "richtigen" Firewallfunktionen zu tun? ;-)

> Also das, was die meisten 
> besseren Hardwarefirewalls auch können, z.B. Cisco Pix. 

Buffer overflows dürfte ein vorgeschalteter Router kaum erkennen können. 
Dafür müsste er IMHO wissen, welche Anwendung in welcher Version 
letztlich die Daten bekommt und ob diese eine entsprechende Schwäche 
hat.

> Weiß da evtl. 
> jemand, wo ich dazu nähere Infos finden könnte?

Hab mal für dich gegoogled:

http://l7-filter.sourceforge.net/

Ab dem 3. Mal wird es gebührenpflichtig ;-)

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Application-level-firewall

2006-10-05 Diskussionsfäden Jochen Schulz 
Thomas Gräber:
> 
> ich versuche gerade herauszufinden, ob es unter Linux auch möglich ist, 
> richtige Firewallfunktionen zu integrieren, z.B. Protokollanomalien, Buffer 
> overflows usw. Also das, was die meisten besseren Hardwarefirewalls auch 
> können, z.B. Cisco Pix.

Ich kann dazu leider nix beitragen, frage mich aber, wie ein Router
Buffer overflows verhindern kann. Sowas setzt doch einen
Programmierfehler in der empfangenden Anwendung voraus. Woher soll eine
Pix o.ä. von so etwas wissen (und wenn sie es weiß, warum wird das nicht
in der Anwendung gefixt)?

J.
-- 
As a child I pulled the legs from a spider.
[Agree]   [Disagree]
 


signature.asc
Description: Digital signature

Re: Application-level-firewall

2006-10-05 Diskussionsfäden Albert Dengg 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Thu, Oct 05, 2006 at 05:59:05PM +0200, Thomas Gräber wrote:
> Hallo,
> 
> ich versuche gerade herauszufinden, ob es unter Linux auch möglich ist, 
> richtige Firewallfunktionen zu integrieren, z.B. Protokollanomalien, Buffer 
> overflows usw. Also das, was die meisten besseren Hardwarefirewalls auch 
> können, z.B. Cisco Pix. Weiß da evtl. jemand, wo ich dazu nähere Infos finden 
> könnte?
vielleicht hilft dir dass weiter:
http://l7-filter.sourceforge.net/L7-HOWTO-Netfilter 

(klassifiziert den traffic auf layer7 ebene...du kannst ihn dann ja noch
umleiten für genaueres filtern, also zB alles was http ist durch squid
jagen und dort eventuel filtern)

mfg
albert

- -- 
Albert Dengg <[EMAIL PROTECTED]>
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (GNU/Linux)

iD8DBQFFJTCuhrtSwvbWj0kRAhYHAJ0YoXElpaXUWxHB+pWaKB9f8pyqTACfaCDI
Tc1/9+AKWbHokIHDzSOFtGI=
=kzHL
-END PGP SIGNATURE-

Application-level-firewall

2006-10-05 Diskussionsfäden Thomas Gräber 
Hallo,

ich versuche gerade herauszufinden, ob es unter Linux auch möglich ist, 
richtige Firewallfunktionen zu integrieren, z.B. Protokollanomalien, Buffer 
overflows usw. Also das, was die meisten besseren Hardwarefirewalls auch 
können, z.B. Cisco Pix. Weiß da evtl. jemand, wo ich dazu nähere Infos finden 
könnte?

Thomas

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-20 Diskussionsfäden Christian Schmidt 
Hallo Paul,

Paul Puschmann, 19.09.2006 (d.m.y):

> ich habe hier mal ein paar Auszuege aus meiner Konfig ins Netz
> gestellt:
> http://www.uzulabs.net/Postfix-Spamassassin-Co.106.0.html?&L=1
> 
> Der Haken: nich nicht fertig.
> 
> Fuer einen Postfix-Neueinsteiger wird das erst einmal nur
> durcheinander sein, aber dafuer gibts ja die ML.

Mein favorisierter MTA ist exim - der auch Standard bei Debian ist.

> Bei den Dateien, die per hash: in der main.cf eingebunden werden musst
> du noch jede Datei (nach einer Aenderung) mit dem Befehl 'postmap'
> "kompilieren". z. B. 'postmap recipient_checks'

Das ist z.B. etwas, wo exim IMO etwas einfacher zu haendeln ist -
gerade fuer jemanden, der in der Materie noch nicht so "drin" ist: In
der Standard-Konfiguration verwendet exim auch fuer Aliases etc.
PlainText-Dateien.

Gruss/Regards,
Christian Schmidt

-- 
Aus Murphy's Gesetze:
Bei einem senkrechten Balkendiagramm werden die Bezeichnungen immer zu
lang sein, um sie komplett unter die Balken zu bekommen.


signature.asc
Description: Digital signature

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-19 Diskussionsfäden Paul Puschmann 
Paul Puschmann <[EMAIL PROTECTED]> schrieb am Tue, Sep 19, 2006 at 12:39:26PM 
+0200:
> niels jende <[EMAIL PROTECTED]> schrieb am Tue, Sep 19, 2006 at 10:03:53AM 
> +0200:
> > Guten Morgen Paul, *,
> > 
> > Paul Puschmann schrieb:
> > 
> > [snip]
> > >Okay, die Mails sollen dann an den SBS geleitet werden?
> > >Wie willst du generell deine Mails verwalten? Evtl. auf einem
> > >IMAP-Server auf der Linux-Box?
> > >  
> > 
> > Genau die Mails sollen an den SBS weitergeleitet werden.
> > hmmm...mal hoffentlich nicht allzu doof gefragt: Wie hast Du es denn 
> > gemacht?
> > 
> Ich habe bei Postfix in der datei 'transport' zum Beispiel den
> folgenden Eintrag:
> meine-domain.de :[10.10.10.1]:25
> 
> Damit werden die Mails, die als die Ziel '[EMAIL PROTECTED]' haben
> an den Server mit der angegebenen IP per SMTP weitergeleitet.
> 
> Ich werde mal schauen, dass ich dir mal meine main.cf und die anderen
> wichtigen Dateien einmal anbieten kann, vielleicht schaffe ich es
> heute nachmittag.
> 
Hi,
ich habe hier mal ein paar Auszuege aus meiner Konfig ins Netz
gestellt:
http://www.uzulabs.net/Postfix-Spamassassin-Co.106.0.html?&L=1

Der Haken: nich nicht fertig.

Fuer einen Postfix-Neueinsteiger wird das erst einmal nur
durcheinander sein, aber dafuer gibts ja die ML.

Bei den Dateien, die per hash: in der main.cf eingebunden werden musst
du noch jede Datei (nach einer Aenderung) mit dem Befehl 'postmap'
"kompilieren". z. B. 'postmap recipient_checks'

Ich werde in den naechsten Tagen versuchen die Seite noch etwas
freundlicher zu gestalten und vielleicht schaffst du es ja auch bis
dahin mal zu sagen wie deine Mails so laufen sollen.

Wenn dein SBS den Exchange aktiv hat und du eine Standleitung hast,
ist schon fast alles klar.

Auf meiner  Seite gibt es (ganz unten) noch Links zu den Seiten von
Ralf Hildebrand (Postfix-Guru).

Paul


signature.asc
Description: Digital signature

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-19 Diskussionsfäden Paul Puschmann 
niels jende <[EMAIL PROTECTED]> schrieb am Tue, Sep 19, 2006 at 10:03:53AM 
+0200:
> Guten Morgen Paul, *,
> 
> Paul Puschmann schrieb:
> 
> [snip]
> >Okay, die Mails sollen dann an den SBS geleitet werden?
> >Wie willst du generell deine Mails verwalten? Evtl. auf einem
> >IMAP-Server auf der Linux-Box?
> >  
> 
> Genau die Mails sollen an den SBS weitergeleitet werden.
> hmmm...mal hoffentlich nicht allzu doof gefragt: Wie hast Du es denn 
> gemacht?
> 
Ich habe bei Postfix in der datei 'transport' zum Beispiel den
folgenden Eintrag:
meine-domain.de :[10.10.10.1]:25

Damit werden die Mails, die als die Ziel '[EMAIL PROTECTED]' haben
an den Server mit der angegebenen IP per SMTP weitergeleitet.

Ich werde mal schauen, dass ich dir mal meine main.cf und die anderen
wichtigen Dateien einmal anbieten kann, vielleicht schaffe ich es
heute nachmittag.

Amavis habe ich uebrigens per master.cf eingebunden:
> smtp  inet  n   -   y   -   10   smtpd -o 
> content_filter=smtp:[127.0.0.1]:10024

Alle Mails, die rein und raus gehen, werden durch amavis-new (und
damit spamassassin und clamav) gejagt.

Wie wolltest du deine Mails eigentlich abholen bzw. wie werden die an
dich zugestellt? Wenn du den MX-Eintrag fuer deine Domain auf deinen
Server umleitest, dann passt meine Config 1:1. 
Wenn du deine E-Mails per fetchmail (oder aehnlich) per POP3  abholen
moechtest, ist das auch kein Beinbruch.

> >Mit dem Proxy koenntest du deinen HTTP-Traffic noch einmal filtern und
> >auf Viren scannen. Das Thema Bandbreite mag evtl. auch noch eine Rolle
> >spielen.
> 
> Da nicht allzuviele mails eingehen, hört sich die Idee mit dem Proxy 
> ganz gut an. Das heisst also, dass ich die Box auf der ich Clamav und 
> Spamassasin laufen lassen möchte gleichzeitig als Proxy aufsetze. Habe 
> ich das richtig verstanden?
> 
Sollte (!) kein Problem sein.

> >vielleicht ist es doch einfacher den Samba "normal" zu nutzen, da du
> >deine Benutzer ja sicher auch als lokale User anlegen kannst.
> >
> Was meinst Du mit "normal"?

Normal: Damit meinte ich eine einfache Samba-Freigabe. Die
Standard-Einstellung halt. (Security = user (oder so)).

Funktioniert.

Paul 


signature.asc
Description: Digital signature

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-19 Diskussionsfäden Albert Dengg 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Tue, Sep 19, 2006 at 10:08:10AM +0200, niels jende wrote:
> Moin Albert,
> 
> Albert Dengg schrieb:
> >
> >naja dass stimmt so ned ganz...
> >mit dnsmasq zB is des ka arbeit (dauert ungef?hr 30 sec zum installieren
> >und um die 5 einzeilligen eintr?ge einzutragen wenn du fixe ips haben
> >willst dauert vielleicht eine minute)...
> >und selbst ein dhcpd is ned wirklich arbeit zu konfigurieren...
> >ich find es schon angenehm wenns zentral verwaltet wird.
> >  
> 
> Du hast nicht rein zuf??llig ein Howto zu Deinem gemachten Vorschlag?
> 
ned wirklich aber kurz zusammengefasst:
aptitude install dnsmasq
die fragen beantworten...
dann $EDITOR /etc/dnsmasq.conf
dort findest du einen haufen beispiele...unter anderem:
# Always give the host with client identifier 01:02:02:04
# the IP address 192.168.0.60
#dhcp-host=id:01:02:02:04,192.168.0.60

# Always give the host with client identifier "marjorie"
# the IP address 192.168.0.60
#dhcp-host=id:marjorie,192.168.0.60

das kann man ja kopieren und anpassen..
net wirklich a arbeit

optional kannst du dort noch
domain= setzten f?r a lokale domain

und mit interface= kannst du noch gezielt nw interfaces angeben auf
denen er arbeiten soll...

ich bin mir jetzt nicht 100%tig sicher ob er auch eine dhcp-range=
braucht, oder ob nur statische ips reichen...


alles in allem ned viel arbeit (und wenn du zumindest zus?tzlich eine
range definiert hast auch noch mit dem vorteil dass du einfach rechner
reinh?ngen kannst wenn zB tempor?r notebooks eingebunden werden sollen).

aja wie der name schon sagt is dnsmasq nebenbei noch ein dns
proxy/server.

bei dhcpd wirds a bisserl komplizierter isofern als es doch noch einmal
mehr m?glichkeiten gibt feinere konfigurationen durchzuf?hren..sollte
aber bei ein paar rechnern nicht notwendig sein

ich hoffe das hilft ein bischen?

mfg
Albert

PS: ok, in meiner zeitrechnung war nicht eingerechnet dass mann die MAC
addressen kennen muss wenn man zuverl?ssig fixe addressen haben will, es
geht aber auch ohne das

- -- 
Albert Dengg <[EMAIL PROTECTED]>
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (GNU/Linux)

iD8DBQFFD7yjhrtSwvbWj0kRAjP6AJ9sYR5m/8+04mNfUqrz4WD5qwKT5wCfTdvt
kz9aPf6b35pP8cKjnx+Umnw=
=yg+y
-END PGP SIGNATURE-


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-19 Diskussionsfäden niels jende 

Moin Albert,

Albert Dengg schrieb:


naja dass stimmt so ned ganz...
mit dnsmasq zB is des ka arbeit (dauert ungef?hr 30 sec zum installieren
und um die 5 einzeilligen eintr?ge einzutragen wenn du fixe ips haben
willst dauert vielleicht eine minute)...
und selbst ein dhcpd is ned wirklich arbeit zu konfigurieren...
ich find es schon angenehm wenns zentral verwaltet wird.
  


Du hast nicht rein zufällig ein Howto zu Deinem gemachten Vorschlag?


mfg
albert

  

Gruß
Niels


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-19 Diskussionsfäden niels jende 

Guten Morgen Paul, *,

Paul Puschmann schrieb:

[snip]

Okay, die Mails sollen dann an den SBS geleitet werden?
Wie willst du generell deine Mails verwalten? Evtl. auf einem
IMAP-Server auf der Linux-Box?
  


Genau die Mails sollen an den SBS weitergeleitet werden.
hmmm...mal hoffentlich nicht allzu doof gefragt: Wie hast Du es denn 
gemacht?



Ich habe hier Postfix mit amavis-new im Einsatz.
amavis-new bindet dabei spamassassin und clamav/clamd ein.
Eingehende Mails werden dabei an einen Exchange-Server weitergeleitet.
Funktioniert sehr gut.
  
- Was willst du mit IPCop machen? 
 
  

IPCop soll als reine Firewall fungieren und steht stand-alone



Okay, gut dass die Firewall getrennt ist.
  

- Was soll clamav ueberpruefen?
  

Clamav soll die mails auf Viren etc überprüfen.




[snip]


Mit dem Proxy koenntest du deinen HTTP-Traffic noch einmal filtern und
auf Viren scannen. Das Thema Bandbreite mag evtl. auch noch eine Rolle
spielen.

  


Da nicht allzuviele mails eingehen, hört sich die Idee mit dem Proxy 
ganz gut an. Das heisst also, dass ich die Box auf der ich Clamav und 
Spamassasin laufen lassen möchte gleichzeitig als Proxy aufsetze. Habe 
ich das richtig verstanden?



DHCP ist wahrscheinlich nicht notwendig, da du wahrscheinlich mehr
Zeit in die Konfiguration des Servers steckst als deine 5 IPs von Hand
zu verwalten.
 
  

- Hast du ein Active Directory?
 
  

Nein das habe ich nicht.



- Soll der Debian-Rechner per Samba eine Windows-Domaene darstellen?
 
  
Eigentlich nicht, es sei denn, dass es besser ist. soweit habe ich mich 
allerdings noch nicht belesen.



vielleicht ist es doch einfacher den Samba "normal" zu nutzen, da du
deine Benutzer ja sicher auch als lokale User anlegen kannst.

  


Was meinst Du mit "normal"?


Paul
  

Gruß
Niels <- der noch ganz viel zu lernen hat...


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-18 Diskussionsfäden Albert Dengg 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Mon, Sep 18, 2006 at 11:23:29AM +0200, Paul Puschmann wrote:
...
> > Beides ist denkbar, ABER was w?re denn kl?gste aus Eurer Sicht, Eurer 
> > Erfahrung?
> 
> Mit dem Proxy koenntest du deinen HTTP-Traffic noch einmal filtern und
> auf Viren scannen. Das Thema Bandbreite mag evtl. auch noch eine Rolle
> spielen.
> 
> DHCP ist wahrscheinlich nicht notwendig, da du wahrscheinlich mehr
> Zeit in die Konfiguration des Servers steckst als deine 5 IPs von Hand
> zu verwalten.
naja dass stimmt so ned ganz...
mit dnsmasq zB is des ka arbeit (dauert ungef?hr 30 sec zum installieren
und um die 5 einzeilligen eintr?ge einzutragen wenn du fixe ips haben
willst dauert vielleicht eine minute)...
und selbst ein dhcpd is ned wirklich arbeit zu konfigurieren...
ich find es schon angenehm wenns zentral verwaltet wird.

mfg
albert

- -- 
Albert Dengg <[EMAIL PROTECTED]>
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (GNU/Linux)

iD8DBQFFDow2hrtSwvbWj0kRAqsXAJ9wrjz4rgV74fT7SdX04nHa4bPI1wCggxKI
HPBo1SZTnMxTvYDttUS5pdQ=
=F+fG
-END PGP SIGNATURE-


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-18 Diskussionsfäden Paul Puschmann 
niels jende <[EMAIL PROTECTED]> schrieb am Mon, Sep 18, 2006 at 10:24:47AM 
+0200:
> Moin Paul, *,
> 
> Paul Puschmann schrieb:
> >niels jende <[EMAIL PROTECTED]> schrieb am Fri, Sep 15, 2006 at 
> >08:24:27PM +0200:
> >  
> >>2 W$ Clients und
> >>1 W$ Server
> >>
> >Was soll den W$ sein? Windows? Dann schreib das doch bitte.
> >  
> 
> jau, es sind Windows Rechner (XP-Pro und der SmallBusinessServer 2000)
> >
> >- Spam filtern: funktioniert. Sollen die Mails auf der Debian-Maschine
> >  abgelegt werden oder soll es anders gehen?
> 
> die mails sollen, nachdem sie den mailserver passiert haben, über den 
> Windows Server an die jeweiligen empfänger geleitet werden

Okay, die Mails sollen dann an den SBS geleitet werden?
Wie willst du generell deine Mails verwalten? Evtl. auf einem
IMAP-Server auf der Linux-Box?

Ich habe hier Postfix mit amavis-new im Einsatz.
amavis-new bindet dabei spamassassin und clamav/clamd ein.
Eingehende Mails werden dabei an einen Exchange-Server weitergeleitet.
Funktioniert sehr gut.
> > 
> >- Was willst du mit IPCop machen? 
> >  
> IPCop soll als reine Firewall fungieren und steht stand-alone

Okay, gut dass die Firewall getrennt ist.
> 
> >- Was soll clamav ueberpruefen?
> 
> Clamav soll die mails auf Viren etc überprüfen.
> 
> >- Willst du einen HTTP-Proxy? Einen DHCP-Server?
> >  
> Beides ist denkbar, ABER was wäre denn klügste aus Eurer Sicht, Eurer 
> Erfahrung?

Mit dem Proxy koenntest du deinen HTTP-Traffic noch einmal filtern und
auf Viren scannen. Das Thema Bandbreite mag evtl. auch noch eine Rolle
spielen.

DHCP ist wahrscheinlich nicht notwendig, da du wahrscheinlich mehr
Zeit in die Konfiguration des Servers steckst als deine 5 IPs von Hand
zu verwalten.
 
> >- Hast du ein Active Directory?
> >  
> 
> Nein das habe ich nicht.
> 
> >- Soll der Debian-Rechner per Samba eine Windows-Domaene darstellen?
> >  
> 
> Eigentlich nicht, es sei denn, dass es besser ist. soweit habe ich mich 
> allerdings noch nicht belesen.

vielleicht ist es doch einfacher den Samba "normal" zu nutzen, da du
deine Benutzer ja sicher auch als lokale User anlegen kannst.

Paul


signature.asc
Description: Digital signature

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-18 Diskussionsfäden Christian Schmidt 
Hallo niels,

niels jende, 18.09.2006 (d.m.y):

> Paul Puschmann schrieb:
> >niels jende <[EMAIL PROTECTED]> schrieb am Fri, Sep 15, 2006 at 
> >08:24:27PM +0200:
> >  
> jau, es sind Windows Rechner (XP-Pro und der SmallBusinessServer 2000)
> 
> >Du kannst generell einen PC mit Debian installieren und in das
> >Netzwerk haengen, da brauchst du nicht viel zu beachten, hoechstens
> >dass du eine eindeutige IP brauchst.
> >
> >Sag doch einfach mal was du wirklich vorhast und dann koennen wir dir
> >auch bessere Tipps geben. 
> >
> >- Spam filtern: funktioniert. Sollen die Mails auf der Debian-Maschine
> >  abgelegt werden oder soll es anders gehen?
> 
> die mails sollen, nachdem sie den mailserver passiert haben, über den 
> Windows Server an die jeweiligen empfänger geleitet werden

Das ist kein Problem und laesst sich bspw. mit exim recht gut und
halbwegs einfach loesen.

> >- Was willst du mit IPCop machen? 
> >  
> 
> IPCop soll als reine Firewall fungieren und steht stand-alone

...was auch sinnvoll ist.

> >- Was soll clamav ueberpruefen?
> >  
> 
> Clamav soll die mails auf Viren etc überprüfen.

...und laesst sich dazu direkt mit exim "verheiraten".

> >- Willst du einen HTTP-Proxy? Einen DHCP-Server?
> >  
> Beides ist denkbar, ABER was wäre denn klügste aus Eurer Sicht, Eurer 
> Erfahrung?

Kommt drauf an, was Du haben willst.
Ein DHCP-Server ist eine recht bequeme Sache, weil man so die
IP- u.a. Einstellungen von zentraler Stelle vorgeben kann.

Ein HTTP-Proxy muss IMO nicht unbedingt sein, ist aber evtl.
interessant, wenn man seinen Leuten WWW-Zugang nur nach
Authentifizierung gestatten will etc.

Gruss,
Christian Schmidt

-- 
Netzwerk/Kryplo
-- Messe Stuttgart


signature.asc
Description: Digital signature

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-18 Diskussionsfäden niels jende 

Moin Paul, *,

Paul Puschmann schrieb:

niels jende <[EMAIL PROTECTED]> schrieb am Fri, Sep 15, 2006 at 08:24:27PM 
+0200:
  

2 W$ Clients und
1 W$ Server





Was soll den W$ sein? Windows? Dann schreib das doch bitte.
  


jau, es sind Windows Rechner (XP-Pro und der SmallBusinessServer 2000)


Du kannst generell einen PC mit Debian installieren und in das
Netzwerk haengen, da brauchst du nicht viel zu beachten, hoechstens
dass du eine eindeutige IP brauchst.

Sag doch einfach mal was du wirklich vorhast und dann koennen wir dir
auch bessere Tipps geben. 


- Spam filtern: funktioniert. Sollen die Mails auf der Debian-Maschine
  abgelegt werden oder soll es anders gehen?


die mails sollen, nachdem sie den mailserver passiert haben, über den 
Windows Server an die jeweiligen empfänger geleitet werden


 
- Was willst du mit IPCop machen? 
  


IPCop soll als reine Firewall fungieren und steht stand-alone


- Was soll clamav ueberpruefen?
  


Clamav soll die mails auf Viren etc überprüfen.


- Willst du einen HTTP-Proxy? Einen DHCP-Server?
  


Beides ist denkbar, ABER was wäre denn klügste aus Eurer Sicht, Eurer 
Erfahrung?



- Hast du ein Active Directory?
  


Nein das habe ich nicht.


- Soll der Debian-Rechner per Samba eine Windows-Domaene darstellen?
  


Eigentlich nicht, es sei denn, dass es besser ist. soweit habe ich mich 
allerdings noch nicht belesen.



Paul
  

Ich möchte, um es mal so zu sagen, lernen und üben.
ich habe somit nicht *1* Box mit Debian stehen, sondern *2*; 1 für IPCop 
und 1 für Clamav und Spamassasin.



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-18 Diskussionsfäden Paul Puschmann 
niels jende <[EMAIL PROTECTED]> schrieb am Fri, Sep 15, 2006 at 08:24:27PM 
+0200:
> Hallöle!
> 
> Was muss beachtet werden, wenn ich eine Debian Box als:
> Firewall (IPCop, Smoothwall, o.ä.)
> AntiViren (Clamav)
> und
> AntiSpam (Spamassasin)
> 
> in einem W$ Netz betreiben möchte?
> Folgende Situation ist gegeben:
> 2 W$ Clients und
> 1 W$ Server
> 
> und in dieses Netz soll nun diese Box rein. *grübel*
> 
Was soll den W$ sein? Windows? Dann schreib das doch bitte.

Du kannst generell einen PC mit Debian installieren und in das
Netzwerk haengen, da brauchst du nicht viel zu beachten, hoechstens
dass du eine eindeutige IP brauchst.

Sag doch einfach mal was du wirklich vorhast und dann koennen wir dir
auch bessere Tipps geben. 

- Spam filtern: funktioniert. Sollen die Mails auf der Debian-Maschine
  abgelegt werden oder soll es anders gehen? 
- Was willst du mit IPCop machen? 
- Was soll clamav ueberpruefen?
- Willst du einen HTTP-Proxy? Einen DHCP-Server?
- Hast du ein Active Directory?
- Soll der Debian-Rechner per Samba eine Windows-Domaene darstellen?

Paul


signature.asc
Description: Digital signature

debian firewall und anti-spam/virusbox in nem W$ Netz

2006-09-15 Diskussionsfäden niels jende 

Hallöle!

Was muss beachtet werden, wenn ich eine Debian Box als:
Firewall (IPCop, Smoothwall, o.ä.)
AntiViren (Clamav)
und
AntiSpam (Spamassasin)

in einem W$ Netz betreiben möchte?
Folgende Situation ist gegeben:
2 W$ Clients und
1 W$ Server

und in dieses Netz soll nun diese Box rein. *grübel*

Ich bin Euch schon jetzt für Kritik und Anregungen dankbar!

Beste Grüße
Niels


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wie schnell sollte eine Firewall mit OpenVPN sein?

2006-08-03 Diskussionsfäden Marc Blumentritt 
Jochen Schulz schrieb:
> Marc Blumentritt:
>> Ich frage mich nun, ob das Ent- und Verschlüsseln des VPN-Verkehrs der
>> schwachen CPU zuviel Rechenleistung abverlangt und so ausgebremst wird
>> oder ob OpenVPN über DSL einfach langsam ist? Hat hier jemand Erfahrung
>> und kann mir weiterhelfen?
> 
> Schau doch einfach mal 'top' an, während Du Traffic erzeugst. Da
> solltest Du sehen, ob OpenVPN der Flaschenhals ist.
> 

Ich ziehe gerade über VPN nen iso image, bin per ssh eingeloggt (um top
laufen zu lassen), bin über Netware-Client mit nem Netware-Server
verbunden und schreibe diese email (im Hintergrund greife ich per Imap
auf die mails zu). Die CPU-Last der Firewall liegt für OpenVPN bei ca.
15%, Memory bei ca. 4% (die restlichen Prozesse liegen alle unter 1%
CPU). Jetzt wär natürlich interessant, wenn noch ein zweiter
OpenVPN-Client zugreifen würde, aber insgesamt sieht es so aus, als
würde die Firewall tatsächlich genügen, oder?

Grüße
Marc


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wie schnell sollte eine Firewall mit OpenVPN sein?

2006-08-02 Diskussionsfäden Jochen Schulz 
Marc Blumentritt:
> 
> Ich frage mich nun, ob das Ent- und Verschlüsseln des VPN-Verkehrs der
> schwachen CPU zuviel Rechenleistung abverlangt und so ausgebremst wird
> oder ob OpenVPN über DSL einfach langsam ist? Hat hier jemand Erfahrung
> und kann mir weiterhelfen?

Schau doch einfach mal 'top' an, während Du Traffic erzeugst. Da
solltest Du sehen, ob OpenVPN der Flaschenhals ist.

Zum Vergleich:

Ich habe hier einen Rechner mit "Via Samuel 2"-CPU (i386-kompatibel,
aber mit lächerlich kleinem Cache), 800MHz, der mein WLAN mit OpenVPN
verschlüsselt. Darüber kriege ich mindestens 1-2MB/s (nicht MBit/s).
Komplett ausgereizt habe ich das aber noch nicht (u.A. weil mein Empfang
recht schlecht ist).

Mein WLAN-AP und Router ist ein Linksys WRT54g. Da steckt eine 200MHz
ARM-CPU drin und die schafft auch schon gute 300kB/s. Da ich damit aber
noch nicht mal meine Internetanbindung auslasten konnte, habe ich das
dann auf den "richtigen" Computer umgezogen.

J.
-- 
In public I try to remain calm and to appear perceptive.
[Agree]   [Disagree]
 


signature.asc
Description: Digital signature

Re: Wie schnell sollte eine Firewall mit OpenVPN sein?

2006-08-02 Diskussionsfäden Thorsten Hamester 
Am 02.08.2006, 15:06 Uhr, schrieb Boris Andratzek  
<[EMAIL PROTECTED]>:



Moin Marc,

Marc Blumentritt wrote:

Hi,
 ich habe als Firewall einen Rechner mit AMD-K6 (400 MHz) und 64 MB RAM.
Auf der Firewall läuft OpenVPN, damit sich die User von außerhalb im
Netzwerk anmelden können. Allerdings ist der Netzwerkverkehr über das
VPN relativ langsam (manche Programme kann man total vergessen, obwohl
im LAN ohne Verzögerung laufen; über das VPN gerouteter Internetverkehr
wird deutlich langsamer). Zu Hause hab ich DSL 6000, also bis zu 6 Mbps
Download und 640 kbps Upload.
 Ich frage mich nun, ob das Ent- und Verschlüsseln des VPN-Verkehrs der
schwachen CPU zuviel Rechenleistung abverlangt und so ausgebremst wird
oder ob OpenVPN über DSL einfach langsam ist? Hat hier jemand Erfahrung
und kann mir weiterhelfen?
 Grüße
Marc



Ich denke, die Maschine ist total ausreichend als  
Router/Firewall/VPN-Server!


Wir benutzen hier solche booksize-PCs mit 533 MHz. Die CPU-Last ist aber  
nahezu Null.
Allerdings würde ich überlegen, ob eine ganze Debian-Distri nicht etwas  
zu dick ist, speziell für Deine knappen 64 MB! Schau' mal unter  
leaf.sourceforge.net , da gibt es schlanke, 'zurechtgeschnitzte'  
Software (uClibc) für sowas!


Grüße,

Boris

Habe hier einen P3 mit 750 MHz und 256 MB und das reicht als Firewall und  
VPN vollkommen aus.

Wir haben allerdings 2 MBit SDSL.
Speicher erhoehen oder kleinere Distribution nehmen.

Gruß
--
Thorsten
Systemadministrator


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wie schnell sollte eine Firewall mit OpenVPN sein?

2006-08-02 Diskussionsfäden Boris Andratzek 

Moin Marc,

Marc Blumentritt wrote:

Hi,

ich habe als Firewall einen Rechner mit AMD-K6 (400 MHz) und 64 MB RAM.
Auf der Firewall läuft OpenVPN, damit sich die User von außerhalb im
Netzwerk anmelden können. Allerdings ist der Netzwerkverkehr über das
VPN relativ langsam (manche Programme kann man total vergessen, obwohl
im LAN ohne Verzögerung laufen; über das VPN gerouteter Internetverkehr
wird deutlich langsamer). Zu Hause hab ich DSL 6000, also bis zu 6 Mbps
Download und 640 kbps Upload.

Ich frage mich nun, ob das Ent- und Verschlüsseln des VPN-Verkehrs der
schwachen CPU zuviel Rechenleistung abverlangt und so ausgebremst wird
oder ob OpenVPN über DSL einfach langsam ist? Hat hier jemand Erfahrung
und kann mir weiterhelfen?

Grüße
Marc




Ich denke, die Maschine ist total ausreichend als 
Router/Firewall/VPN-Server!


Wir benutzen hier solche booksize-PCs mit 533 MHz. Die CPU-Last ist aber 
nahezu Null.
Allerdings würde ich überlegen, ob eine ganze Debian-Distri nicht etwas 
zu dick ist, speziell für Deine knappen 64 MB! Schau' mal unter 
leaf.sourceforge.net , da gibt es schlanke, 'zurechtgeschnitzte' 
Software (uClibc) für sowas!


Grüße,

Boris

Wie schnell sollte eine Firewall mit OpenVPN sein?

2006-08-02 Diskussionsfäden Marc Blumentritt 
Hi,

ich habe als Firewall einen Rechner mit AMD-K6 (400 MHz) und 64 MB RAM.
Auf der Firewall läuft OpenVPN, damit sich die User von außerhalb im
Netzwerk anmelden können. Allerdings ist der Netzwerkverkehr über das
VPN relativ langsam (manche Programme kann man total vergessen, obwohl
im LAN ohne Verzögerung laufen; über das VPN gerouteter Internetverkehr
wird deutlich langsamer). Zu Hause hab ich DSL 6000, also bis zu 6 Mbps
Download und 640 kbps Upload.

Ich frage mich nun, ob das Ent- und Verschlüsseln des VPN-Verkehrs der
schwachen CPU zuviel Rechenleistung abverlangt und so ausgebremst wird
oder ob OpenVPN über DSL einfach langsam ist? Hat hier jemand Erfahrung
und kann mir weiterhelfen?

Grüße
Marc


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian als Router-Ersatz im VMWARE: mehr als eine PPTP-Verbindung durch Firewall aufbauen

2006-07-24 Diskussionsfäden Dirk Finkeldey 

Philipp Flesch schrieb:


Hallo!
Dank meinen "Freunden" von der Telekom.AT habe ich einen Router in  
Oesterreich stehen, der ohne NAT eingerichtet ist.
Um ueberhaupt arbeiten zu koennen habe ich jetzt schnell in einer  
VMWARE-Maschine Debian als Firewall/... hochgezogen.


Jetzt haben wir wenigstens E-Mail, Web und Co.

Aber:
wie bekomme ich beim 2.6er Kernel eine Loesung, um mehr als eine  
PPTP-Verbindung durch die Debian-VMWARE-Maschine zu unserem  
PPTP-Server aufzubauen. 


Schonmal Probiert selber einen Kernel zu übersetzen und die Optionen zur 
Netzwerkoptimierung zu aktivieren ?





Scheint wohl ein bekanntes Problem zu sein ... fuer das ich aber  
leider keine Loesung gefunden habe.


Am liebsten wuerde ich vor Ort ja gegen LINKSYS-Router austauschen,  
geht aber nicht. Loesung sollte moeglichst ohne hohe  
"Fehlerwahrscheinlichkeit" remote durchfuehrbar sein. Das Netz ist 3h  
von mir entfernt und wird dringend benoetigt.



Danke schon einmal!


Philipp


Mit freundlichen Grüßen Dirk Finkeldey

Re: Debian als Router-Ersatz im VMWARE: mehr als eine PPTP-Verbindung durch Firewall aufbauen

2006-07-24 Diskussionsfäden Philipp Flesch 

Konkret habe ich auf dem PPTP Server mit einem

Jul 24 10:06:09 linux03 pptpd[18415]: CTRL: Client 88.117.XXX.XXX  
control connection started
Jul 24 10:06:11 linux03 pptpd[18415]: CTRL: Starting call (launching  
pppd, opening GRE)
Jul 24 10:06:11 linux03 pppd[18417]: Plugin  
/usr/lib/pptpd/pptpd-logwtmp.so loaded.

Jul 24 10:06:11 linux03 pppd[18417]: pppd 2.4.3 started by root, uid 0
Jul 24 10:06:11 linux03 pppd[18417]: Using interface ppp0
Jul 24 10:06:11 linux03 pppd[18417]: Connect: ppp0 <--> /dev/pts/1
Jul 24 10:06:11 linux03 pptpd[18415]: GRE: Bad checksum from pppd.


zu kaempfen! Von einem anderen Client in einem anderen Netz mit einem  
LinkSys geht der Server aber problemlos!


Philipp



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Debian als Router-Ersatz im VMWARE: mehr als eine PPTP-Verbindung durch Firewall aufbauen

2006-07-24 Diskussionsfäden Philipp Flesch 

Hallo!
Dank meinen "Freunden" von der Telekom.AT habe ich einen Router in  
Oesterreich stehen, der ohne NAT eingerichtet ist.
Um ueberhaupt arbeiten zu koennen habe ich jetzt schnell in einer  
VMWARE-Maschine Debian als Firewall/... hochgezogen.


Jetzt haben wir wenigstens E-Mail, Web und Co.

Aber:
wie bekomme ich beim 2.6er Kernel eine Loesung, um mehr als eine  
PPTP-Verbindung durch die Debian-VMWARE-Maschine zu unserem  
PPTP-Server aufzubauen.


Scheint wohl ein bekanntes Problem zu sein ... fuer das ich aber  
leider keine Loesung gefunden habe.


Am liebsten wuerde ich vor Ort ja gegen LINKSYS-Router austauschen,  
geht aber nicht. Loesung sollte moeglichst ohne hohe  
"Fehlerwahrscheinlichkeit" remote durchfuehrbar sein. Das Netz ist 3h  
von mir entfernt und wird dringend benoetigt.



Danke schon einmal!


Philipp


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Firewall im Intranet (iptables)

2006-07-18 Diskussionsfäden Mathias Uebel 

Manfred Rebentisch schrieb:

Hallo,
ich bin immer noch kein Firewall-Profi und suche nach einem Beispiel für 
mein Intranet.

Bei meiner Recherche habe ich kein passendes Beispiel gefunden.

Ich habe einen Firewall-Rechner, der zwei Ethernet-Karten hat. Eine geht 
an DSL die andere geht direkt zum Server.


Der Server wiederum hat auch zwei Ethernet-Karten.  Eine geht zur 
Firewall und die andere zum Switch. Vom Switch gehts an meine Rechner.

[...]

Der Sinn erschliesst sich nicht sofort aber na ja.

http://www.harry.homelinux.org/modules.php?name=iptables_Generator
Kann (nur) ein erster Schritt sein, aber FWs sind immer sehr individuell.

Grusz aus der Enklave


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Firewall im Intranet (iptables)

2006-07-18 Diskussionsfäden Gerhard Brauer 
Gruesse!
* Manfred Rebentisch <[EMAIL PROTECTED]> schrieb am [18.07.06 06:53]:
> 
> Ich habe einen Firewall-Rechner, der zwei Ethernet-Karten hat. Eine geht an 
> DSL die andere geht 
> direkt zum Server.
> 
> Der Server wiederum hat auch zwei Ethernet-Karten.  Eine geht zur Firewall 
> und die andere zum 
> Switch. Vom Switch gehts an meine Rechner.
> 
> Internet -> FW dsl0 / 192.168.90.1 ->
>Server 192.168.90.2 / 192.168.100.1 ->
>   -> Client 192.168.100.2
>   -> Client 192.168.100.3
>   -> etc.
> 
> Was ich suche, ist eine Firewall-Konfiguration für den Server (also NICHT für 
> die Firewall), der 
> komplett im Intranet steht.

-> um die Clients zu reglementieren bzw. dich vor den Clients zu
   "schützen"?

> Hier möchte ich nach Bedarf Dienste verbieten oder erlauben.

-> Den Clients verbieten oder erlauben?

Mir erschließt sich deine Absicht noch nicht ganz ;-)
Der Traffic von "außen" wird an der ersten Stelle, an der Pakete aus dem
Internet dein LAN erreichen, reglementiert:

> Die Firewall routet HTTPS und SSH auf einem speziellen Port durch zum
> Server - sonst nix.

Jede Regel, die du am Server triffst, kann ja nur diesen Server vor dem
Zugriff entweder der Clients oder der FW schützen - andere Pakete
erreichen den Rechner ja nicht.

Zu den Diensten, die du den Clients und der FW "bei Bedarf" erlauben
oder verbieten willst: ist deine Absicht z.B. nur _einzelnen_ Rechnern
den Zugriff nicht zu erlauben oder den Zugriff komplett zu sperren? Wenn
letzteres, dann bietet sich eher an den Dienst komplett zu stoppen.

Wenn ersteres, dann bieten viele Services schon in der Konfiguration die
Möglichkeit der Zugriffsregelung auf sich an.

> Zur Zeit habe ich da ein altes 
> restore-Script von der früheren SuSE-Firewall laufen, daß ich nicht wirklich 
> pflegen mag 
> (unnötig komplex).
> Vor allem möchte ich, daß der Firewall-Rechner UND die Client-Rechner 
> root-Mails zum Server 
> senden können (der Server beheimatet auch einen 
> Postfix-Intranet-EMail-Server).

Das wäre dann Regeln wie:
iptables -A INPUT -s 192.168.100.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 192.168.90.1 -p tcp --dport 25 -j ACCEPT

Die an geeigneter Stelle in deinem Regelwerk einfügen.
 
> Also: hat jemand ein Beispiel Script für meine Rechner-Konstellation?

Wohl kaum was "Fertisches", auf dich zugeschneidert;-)
Aber schau dir mal das Paket fwbuilder (apt-cache show fwbuilder) an.
Damit kannst du komfortabel und nachvollziehbare Regeln z.B. für deine
FW und den Server verwalten. Das Programm z.B. auf deinem Arbeits-Client
installieren und die Regeln an die FW/Server übetragen.

> Grüße
> Manfred

Gruß
Gerhard
-- 
A: Weil es die Lesbarkeit des Textes verschlechtert.
Q: Warum ist TOFU so schlimm?
A: TOFU
F: Was ist das groesste Aergerniss im Usenet?


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Firewall im Intranet (iptables)

2006-07-17 Diskussionsfäden Manfred Rebentisch 

Hallo,
ich bin immer noch kein Firewall-Profi und suche nach einem Beispiel für 
mein Intranet.

Bei meiner Recherche habe ich kein passendes Beispiel gefunden.

Ich habe einen Firewall-Rechner, der zwei Ethernet-Karten hat. Eine geht 
an DSL die andere geht direkt zum Server.


Der Server wiederum hat auch zwei Ethernet-Karten.  Eine geht zur 
Firewall und die andere zum Switch. Vom Switch gehts an meine Rechner.


Internet -> FW dsl0 / 192.168.90.1 ->
   Server 192.168.90.2 / 192.168.100.1 ->
  -> Client 192.168.100.2
  -> Client 192.168.100.3
  -> etc.

Die Firewall routet HTTPS und SSH auf einem speziellen Port durch zum 
Server - sonst nix.


Was ich suche, ist eine Firewall-Konfiguration für den Server (also 
NICHT für die Firewall), der komplett im Intranet steht.


Hier möchte ich nach Bedarf Dienste verbieten oder erlauben. Zur Zeit 
habe ich da ein altes restore-Script von der früheren SuSE-Firewall 
laufen, daß ich nicht wirklich pflegen mag (unnötig komplex).
Vor allem möchte ich, daß der Firewall-Rechner UND die Client-Rechner 
root-Mails zum Server senden können (der Server beheimatet auch einen 
Postfix-Intranet-EMail-Server).


Also: hat jemand ein Beispiel Script für meine Rechner-Konstellation?

Grüße
Manfred

Re: firewall

2006-05-26 Diskussionsfäden Christian Schmidt 
Hallo Micha,

Micha Beyer, 26.05.2006 (d.m.y):

> Am Donnerstag, 25. Mai 2006 14:28 schrieb johannes swoboda:
> 
> > klar, meine firewall blockt einkommende pakete (außer sie gehören bereits
> > zu einer bestehenden verbindung)
> > es kann doch nicht sein, dass ich einkommende pakete akzeptieren muss...
> 
> Richtig, aber in /var/log/syslog sollten doch die Meldungen von iptables 
> auftauchen, oder?

...wenn man eine Regel mit dem Target LOG definiert hat.

Gruss,
Christian Schmidt

-- 
Letzte Worte eines Präsidentensohns:
  "Wofür ist dieser rote Knopf?"


signature.asc
Description: Digital signature

Re: firewall

2006-05-26 Diskussionsfäden Christian Schmidt 
Hallo johannes,

johannes swoboda, 25.05.2006 (d.m.y):

> ich verwende grml-hd-installation mit debian testing
> ich habe meinen zugang mit dem inode-eigenen skript konfiguriert.
> ich habe ein paar regeln für iptables erstellt, die zur folge haben, 
> dass mein internet mit diesen regeln nicht funktionert. 

Ausserdem scheinen sie Deine Grossbuchstaben hinweggerafft zu haben.

> die fehlermeldung lautet: (auszug)
> .) Eine aktive Firewall blockiert ausgehende oder einkommende Pakete.
>    Passen Sie gegenfalls die Firewall-Konfiguration Ihrer Distribution
>    dementsprechend an, oder deaktivieren Sie sie vollständig.

Na toll.
Du solltest vielleicht nochmal erwaehnen, was Du da versucht hast und
was genau nicht geht.

> klar, meine firewall 

Paketfilter.

> blockt einkommende pakete (außer sie gehören bereits 
> zu einer bestehenden verbindung)

OK.

> es kann doch nicht sein, dass ich einkommende pakete akzeptieren muss...

> hier ist mein skript, vielleicht habe ich ja etwas falsch gemacht...
> #!/bin/bash
> # firewall
> #
> # Sa Mai 20 16:38:08 CEST 2006
> ###
> #variablen
> ##
> ipt="iptables"

Wuerde ich Durch /sbin/iptables ersetzen. Tut aber nichts zur Sache.

> allowed_ports="22"
> ##
> #skript
> ##
> #löscht alle regeln
> $ipt -F
> $ipt -X
> #standardregeln
> if [ "$1" = "down" ];
>   then
>   $ipt -P INPUT ACCEPT
>   $ipt -P OUTPUT ACCEPT
>   $ipt -P FORWARD ACCEPT
>   exit
> fi
> #alle eingehenden pakete verwerfen
> $ipt -P INPUT DROP
> #alle ausgehenden pakete erlauben
> $ipt -P OUTPUT ACCEPT
> #forwarding deaktiviert
> $ipt -P FORWARD DROP
> $ipt -N input_chain
> #loopback interface OK
> $ipt -A INPUT -i lo -j ACCEPT
> #alle pakete, die hereinkommen, in die kette input_chain

Die eigene Kette dafuer kannst Du Dir IMO sparen.

> $ipt -A INPUT -i eth0 -j input_chain
>   #gehört das schon zu einer verbindung? wenn ja, ok
>   $ipt -A input_chain -m state --state ESTABLISHED,RELATED -j ACCEPT
>   # IST DAS EINE neue verbindung auf port $allowed_ports
>   $ipt -A input_chain -p tcp -m multiport --dport $allowed_ports -m state 
> --state NEW -j ACCEPT
>   $ipt -A input_chain -j DROP

Tipp: Definiere Dir im Anschluss noch eine Regel zum Loggen und danach
eine zum Rejecten. Dann kannst Du evtl. schon in Deinem Log sehen, wo
es hakt.

Gruss,
Christian Schmidt

-- 
Du kannst einen Elefanten festhalten, wenn er fliehen, aber nicht das
kleinste Haar auf deinem Kopf, wenn es fallen will.
-- Gerhard Hauptmann


signature.asc
Description: Digital signature

Re: firewall

2006-05-25 Diskussionsfäden Micha Beyer 
Am Donnerstag, 25. Mai 2006 14:28 schrieb johannes swoboda:

> klar, meine firewall blockt einkommende pakete (außer sie gehören bereits
> zu einer bestehenden verbindung)
> es kann doch nicht sein, dass ich einkommende pakete akzeptieren muss...

Richtig, aber in /var/log/syslog sollten doch die Meldungen von iptables 
auftauchen, oder?
-- 
Mfg,
 Michael

firewall

2006-05-25 Diskussionsfäden johannes swoboda 
hallo!ich verwende grml-hd-installation mit debian testingich habe meinen zugang mit dem inode-eigenen skript konfiguriert.ich habe ein paar regeln für iptables erstellt, die zur folge haben, dass mein internet mit diesen regeln nicht funktionert. die fehlermeldung lautet: (auszug)
.) Eine aktive Firewall blockiert ausgehende oder einkommende Pakete.   Passen Sie gegenfalls die Firewall-Konfiguration Ihrer Distribution   dementsprechend an, oder deaktivieren Sie sie vollständig.klar, meine firewall blockt einkommende pakete (außer sie gehören bereits zu einer bestehenden verbindung)
es kann doch nicht sein, dass ich einkommende pakete akzeptieren muss...danke für antwortengruß johanneshier ist mein skript, vielleicht habe ich ja etwas falsch gemacht...#!/bin/bash
# firewall## Sa Mai 20 16:38:08 CEST 2006variablen##ipt="iptables"allowed_ports="22"##
#skript###löscht alle regeln$ipt -F$ipt -X#standardregelnif [ "$1" = "down" ];then $ipt -P INPUT ACCEPT$ipt -P OUTPUT ACCEPT$ipt -P FORWARD ACCEPT
exitfi#alle eingehenden pakete verwerven$ipt -P INPUT DROP#alle ausgehenden pakete erlauben$ipt -P OUTPUT ACCEPT#forwarding deaktiviert$ipt -P FORWARD DROP$ipt -N input_chain
#loopback interface OK$ipt -A INPUT -i lo -j ACCEPT#alle pakete, die hereinkommen, in die kette input_chain$ipt -A INPUT -i eth0 -j input_chain  #gehört das schon zu einer verbindung? wenn ja, ok
  $ipt -A input_chain -m state --state ESTABLISHED,RELATED -j ACCEPT  # IST DAS EINE neue verbindung auf port $allowed_ports  $ipt -A input_chain -p tcp -m multiport --dport $allowed_ports -m state --state NEW -j ACCEPT
  $ipt -A input_chain -j DROP

Re: [OT] Firewall (was: Re: Sicherheit vorm bös en Internet)

2006-04-06 Diskussionsfäden Gerhard Wolfstieg 
 Matthias Houdek  am Thu, 6 Apr 2006 14:11:38 +0200:
> relativ  ungünstiger Vergleich. Sprache tut nun mal ein Gebrauchsgut
> sein,  weswegen es überwiegend auch von denen gestaltet wird, die da
> welche es  auch nutzen tun (der Stil ist hier Absicht ;-).

Da ist ein großes Dilemma, wenn nicht ein unauflösbarer Widerspruch.
Sprache hat zwei "Funktionen", sie ist Medium des Kommunizierens und des
Denkens. Auf der einen Seite gibt es die Alltagssprache mit der Abnahme
an intellektueller Konzentration durch Unlust, die sich in der Häufung
des falschen Satzbaus in Nebensätzen nach 'weil' bemerkbar macht und das
Kämpfen um jedes Wort, jedes einzelne Zeichen in Dichtung und das Ringen
um Schärfe im Denken (/Philosophieren), das auf jede Nuance des Mediums
Sprache angewiesen ist. Da sieht es im Vergleich mit wenig Überspitzung
so aus, als ob etwa Mathematiker in den Unis sich maximal mit dem
Dreisatz beschäftigen sollten oder alternativ aus der Gesellschaft
gedrängt werden.

 Grüße,  Gerhard


PS: Ich bin dankbar, daß noch niemand "Aufhören, [OT]!" eingeworfen hat.
Ich sehe wohltuend so etwas wie eine wahrgenommene gesellschaftliche
Verantwortung derer, die sich hier intensiv mit IT beschäftigen, die
vollkommene Abwesenheit von Fachidiotie.

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-06 Diskussionsfäden Matthias Houdek 
Hallo Gebhard Dettmar, hallo auch an alle anderen

Mittwoch, 5. April 2006 20:35 - Gebhard Dettmar wrote:
> On Tuesday 04 April 2006 14:39, Matthias Houdek wrote:
> > Hallo Gerhard Wolfstieg, hallo auch an alle anderen
> >
> > Dienstag, 4. April 2006 13:50 - Gerhard Wolfstieg wrote:
> > > [...]
> > >
> > > Dabei ziehen Schriftsteller und Dichter
> > > wie Karl Kraus in der Regel den Kürzeren. Ihn wegen der
> > > Wirkungslosigkeit seines Eintretens zu verlachen, wie vor Kurzen
> > > in Medien geschehen, ist existentielle Dummheit. Da könnte man
> > > auch den zweiten Weltkrieg rechtfertigen, weil er es geschafft
> > > hat, sich zu entfalten, sich quasi durchzusetzen.
> >
> > entfalten = durchsetzen?
> >
> > Letzlich ist er doch total gescheitert - oder?
>
> klar, aber er war 6 Jahre in großen Teilen der Welt eine verdammt
> bittere Realität - in diesem Sinne hat er sich durchgesetzt, oder
> anders gesagt: die Deutschen haben ihn der Welt erfolgreich
> aufgezwungen.

Dann gab es aber etliche Wirrungen, die sich über längere Zeit entfaltet 
haben und letztlich doch nicht durchgesetzt haben.

Und du hast ja Recht - es gibt nix, das den WW-2 oder andere 
geschichtliche Entgleisungen rechtfertigt. Aber es ist auch ein relativ 
ungünstiger Vergleich. Sprache tut nun mal ein Gebrauchsgut sein, 
weswegen es überwiegend auch von denen gestaltet wird, die da welche es 
auch nutzen tun (der Stil ist hier Absicht ;-).

> > > So führt mich die innere Logik über den gemeinsamen Ursprung zur
> > > direktesten semantisch korrekten Übersetzung, die Feuerwall
> > > lautet.
> >
> > ... womit du sämtlichen Wörterbüchern widersprichst.
> >
> > Zum semantischen Ursprung:
> > Im englischen Sprachgebrauch wird "wall" als Bezeichnung für
> > Objekte verwendet, die in Latein "murus" genannt werden, von dem
> > sich wiederum unser deutsches "Mauer" ableitet (weiblich)
> >
> > Das lateinische "vallum" (das du hier ggf. als Ursprung für den
> > deutschen "Wall" heranziehst) bezeichnet Schutzpfeiler (bzw. die
> > Zwischenräume dazwischen -> inter vallum).
>
> Das ist die Frage (s. antwort an Frank)

Aber IMHO nicht entscheidend. Da Firewall nun mal nicht direkt aus dem 
Lateinischen kommt.

> > Im Übrigen scheint es mir ohnehin vergebene Mühe zu sein, in der
> > Verwendung des Geschlechts im Deutschen irgend eine Logik finden zu
> > wollen (das Meer, die See und der Ozean).
>
> mare, is n.  das Meer, See weiß ich auf die Schnelle nicht, Ozean <-
> Oceanus, i, m. Ozeanus, der Meeresgott (griech. Oikeanos), Weltmeer,
> Ozean. Deshalb (aus deiner anderen Mail zitiert: "Wollte man für alle
> letzlich aus dem Lateinischen entlehnten Worte den Genus des
> lateinischen Ursprungswortes fordern, müsste man die deutsche Sprache
> neu schreiben." (Zitatende)
> Da wäre ich mir nicht so sicher. Ein schönes Beispiel ist Frank
> (Küsters) Beispiel: Nase - irgendein Genuspendant findet sich immer
> (behaupte ich jetzt einfach mal ;-)

Naja, von narus zu Nase ist aber ein weiter Weg. Zumal ja auch ein 
anderer Sinn dahinter steckt. nasus -> Nase ist da rein sprachlich 
schon direkter und auch sinnhafter. 

Ich hab jetzt keine Lust, das Wörterbuch zu durchforsten. Nur so auf die 
Schnelle, was mir sofort einfällt: 

das Lokal <- locus (m)
das Fenster <- fenestra (f)
der Dacia <- dacia (f) (Gebiet in Rumänien: Dakien, Dacia: Automarke)
der Körper <- corpus (n)

> > > Die Unkenntnis des Wortes Feuerwall scheint die Ursache für den
> > > falschen Gebrauch der Mehrheit
> >
> > Was soll denn ein "Feuerwall" sein? Ein Wall aus Feuer?
> >
> > Die einzig korrekte Übersetzung aus dem Englischen "firewall" in
> > deutsche lautet "Brand(schutz)mauer", was sogar nahezu wörtlich ist
> > (fire -> Brand, Feuer und wall -> Wand, Mauer).
>
> Hmm. Mein Cassell's (also in der Nomenklatur der Wörterbücher nicht
> grade weit unten) sagt: Wall = die Wand (inside), die Mauer
> (outside); (fortification) der Wall.

Das ist aber eine sehr spezifizierte Aussage und bezieht sich nicht auf 
den allgemeinen Wall im Sinne einer (Erd-)Aufschüttung, sondern auf 
einen Burgwall (i.d.R. mit einer Befestigungsmauer versehen). Der 
Engländer würde hier woch auch eher "rampart" verwenden.

BTW: Diese Diskussion ist zwar ammüsant bis lehrreich (muss sich ja 
nicht ausschließen *g*), passt aber nicht mehr so richtig hier her. Auf 
der SuSE-Liste wurde seinerzeit dafür eine eigene Liste gegründet: 
suse-talk. ;-)

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-05 Diskussionsfäden Gebhard Dettmar 
On Tuesday 04 April 2006 14:39, Matthias Houdek wrote:
> Hallo Gerhard Wolfstieg, hallo auch an alle anderen
>
> Dienstag, 4. April 2006 13:50 - Gerhard Wolfstieg wrote:
> > [...]
>
> > Dabei ziehen Schriftsteller und Dichter
> > wie Karl Kraus in der Regel den Kürzeren. Ihn wegen der
> > Wirkungslosigkeit seines Eintretens zu verlachen, wie vor Kurzen in
> > Medien geschehen, ist existentielle Dummheit. Da könnte man auch den
> > zweiten Weltkrieg rechtfertigen, weil er es geschafft hat, sich zu
> > entfalten, sich quasi durchzusetzen.
>
> entfalten = durchsetzen?
>
> Letzlich ist er doch total gescheitert - oder?
>
klar, aber er war 6 Jahre in großen Teilen der Welt eine verdammt bittere 
Realität - in diesem Sinne hat er sich durchgesetzt, oder anders gesagt: 
die Deutschen haben ihn der Welt erfolgreich aufgezwungen.

> > So führt mich die innere Logik über den gemeinsamen Ursprung zur
> > direktesten semantisch korrekten Übersetzung, die Feuerwall lautet.
>
> ... womit du sämtlichen Wörterbüchern widersprichst.
>
> Zum semantischen Ursprung:
> Im englischen Sprachgebrauch wird "wall" als Bezeichnung für Objekte
> verwendet, die in Latein "murus" genannt werden, von dem sich wiederum
> unser deutsches "Mauer" ableitet (weiblich)
>
> Das lateinische "vallum" (das du hier ggf. als Ursprung für den
> deutschen "Wall" heranziehst) bezeichnet Schutzpfeiler (bzw. die
> Zwischenräume dazwischen -> inter vallum).
>
Das ist die Frage (s. antwort an Frank)

> Im Übrigen scheint es mir ohnehin vergebene Mühe zu sein, in der
> Verwendung des Geschlechts im Deutschen irgend eine Logik finden zu
> wollen (das Meer, die See und der Ozean).
>
mare, is n.  das Meer, See weiß ich auf die Schnelle nicht, Ozean <- 
Oceanus, i, m. Ozeanus, der Meeresgott (griech. Oikeanos), Weltmeer, Ozean.
Deshalb (aus deiner anderen Mail zitiert: "Wollte man für alle letzlich 
aus dem Lateinischen entlehnten Worte den Genus des lateinischen 
Ursprungswortes fordern, müsste man die deutsche Sprache neu schreiben."
(Zitatende)
Da wäre ich mir nicht so sicher. Ein schönes Beispiel ist Frank (Küsters) 
Beispiel: Nase - irgendein Genuspendant findet sich immer (behaupte ich 
jetzt einfach mal ;-)

> > Die Unkenntnis des Wortes Feuerwall scheint die Ursache für den
> > falschen Gebrauch der Mehrheit
>
> Was soll denn ein "Feuerwall" sein? Ein Wall aus Feuer?
>
> Die einzig korrekte Übersetzung aus dem Englischen "firewall" in
> deutsche lautet "Brand(schutz)mauer", was sogar nahezu wörtlich ist
> (fire -> Brand, Feuer und wall -> Wand, Mauer).
>
Hmm. Mein Cassell's (also in der Nomenklatur der Wörterbücher nicht grade 
weit unten) sagt: Wall = die Wand (inside), die Mauer (outside); 
(fortification) der Wall.

> > -- und wiederholend:  der Begriff wurde
> > auch als "der Firewall" in die Fachsprache eingeführt (meines Wissens
> > durch Microsoft); erst danach war eine Geschlechtsumwandlung zu
> > beobachten.
>
> Noch ein Grund mehr, die weibliche Form zu verwenden ;-)
ROFL
Gruß Gebhard

-- 
Q:  How do you catch a unique rabbit?
A:  Unique up on it!

Q:  How do you catch a tame rabbit?
A:  The tame way!

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Matthias Houdek 
Hallo Gerhard Wolfstieg, hallo auch an alle anderen

Dienstag, 4. April 2006 13:50 - Gerhard Wolfstieg wrote:
> [...]
> Einspruch, nein! Zwei Sachen vorweg, bevor ich mich hier nicht mehr
> dazu äußere (höchsten noch als PM): wall und Wall haben den gleich
> Ursprung im Lateinischen. Ein endgültiges Urteil akzteptiere ich von
> einem Schriftsteller und Dichter, nicht von einem Wissenschaftler und
> wissenschaftlichen Erzeugnissen.

Interessant - diese Trennung von Literatur (Schriftsteller, Dichter) und 
Wissenschaft ;-)

> In einem kurzen Text, der in der Süddeutschen abgedruckt wurde, habe
> ich als einen Grundfehler bei der Rechtschreibreform beschrieben, wie
> eine mechanistische äußere Logik die innere Logik der Sprache
> verdrängt hat. Es gibt immer wieder Gegensätze zwischen denen gibt,
> die kreativ mit der Sprache umgehen und sorgsam wie den größten
> Schatz pflegen und Anderen. 

... oder besser: "als den größten Schatz pflegen" ?

Denn "wie" impliziert eine Gleichsetzung, was dem Superlativ "größten" 
widerspricht. *g*

> Dabei ziehen Schriftsteller und Dichter 
> wie Karl Kraus in der Regel den Kürzeren. Ihn wegen der
> Wirkungslosigkeit seines Eintretens zu verlachen, wie vor Kurzen in
> Medien geschehen, ist existentielle Dummheit. Da könnte man auch den
> zweiten Weltkrieg rechtfertigen, weil er es geschafft hat, sich zu
> entfalten, sich quasi durchzusetzen. 

entfalten = durchsetzen?

Letzlich ist er doch total gescheitert - oder?

> So führt mich die innere Logik über den gemeinsamen Ursprung zur
> direktesten semantisch korrekten Übersetzung, die Feuerwall lautet.

... womit du sämtlichen Wörterbüchern widersprichst.

Zum semantischen Ursprung: 
Im englischen Sprachgebrauch wird "wall" als Bezeichnung für Objekte 
verwendet, die in Latein "murus" genannt werden, von dem sich wiederum 
unser deutsches "Mauer" ableitet (weiblich)

Das lateinische "vallum" (das du hier ggf. als Ursprung für den 
deutschen "Wall" heranziehst) bezeichnet Schutzpfeiler (bzw. die 
Zwischenräume dazwischen -> inter vallum). 

Im Übrigen scheint es mir ohnehin vergebene Mühe zu sein, in der 
Verwendung des Geschlechts im Deutschen irgend eine Logik finden zu 
wollen (das Meer, die See und der Ozean).

> Die Unkenntnis des Wortes Feuerwall scheint die Ursache für den
> falschen Gebrauch der Mehrheit

Was soll denn ein "Feuerwall" sein? Ein Wall aus Feuer?

Die einzig korrekte Übersetzung aus dem Englischen "firewall" in 
deutsche lautet "Brand(schutz)mauer", was sogar nahezu wörtlich ist 
(fire -> Brand, Feuer und wall -> Wand, Mauer).

> -- und wiederholend:  der Begriff wurde 
> auch als "der Firewall" in die Fachsprache eingeführt (meines Wissens
> durch Microsoft); erst danach war eine Geschlechtsumwandlung zu
> beobachten. 

Noch ein Grund mehr, die weibliche Form zu verwenden ;-)

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Firewall (was: Re: Sicherheit vorm bös en Internet)

2006-04-04 Diskussionsfäden Gerhard Wolfstieg 
 Frank Evers  am Tue, 4 Apr 2006 13:01:43 +0200:
> Am Dienstag, 4. April 2006 11:33 schrieb Gebhard Dettmar:
> 
> > Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert
> > nicht die Vermeidung von Anglizismen sondern die Einhaltung
> > deutscher Genusregeln für englische Begriffe. Ich hab das auch mal
> > probiert und in einem Artikel über Logfile-Analyse ständig von "dem
> > URL" gesprochen, weil Locator ja wohl maskulin ist - ich habs dann
> > irgendwann aufgegeben, aber im Prinzip hat er recht, da beißt die
> > Maus keinen Faden ab.
> 
> Na dann soll er es aber auch richtig machen. Entweder er entschließt 
> sich den Begriff korrekt zu übersetzen (DIE Brandmauer), verwendet 
> den englischen Begriff direkt und übernimmt den Artikel entsprechend 
> (DAS Firewall, denn firewall ist im Englischen neutrum), oder er 
> aktzeptiert Firewall als neues (deutsches) Lehnwort mit dem Artikel 
> den der Volksmund ihm verpasst hat (DIE Firewall).

Einspruch, nein! Zwei Sachen vorweg, bevor ich mich hier nicht mehr dazu
äußere (höchsten noch als PM): wall und Wall haben den gleich Ursprung
im Lateinischen. Ein endgültiges Urteil akzteptiere ich von einem
Schriftsteller und Dichter, nicht von einem Wissenschaftler und
wissenschaftlichen Erzeugnissen.

In einem kurzen Text, der in der Süddeutschen abgedruckt wurde, habe ich
als einen Grundfehler bei der Rechtschreibreform beschrieben, wie eine
mechanistische äußere Logik die innere Logik der Sprache verdrängt hat.
Es gibt immer wieder Gegensätze zwischen denen gibt, die kreativ mit der
Sprache umgehen und sorgsam wie den größten Schatz pflegen und Anderen.
Dabei ziehen Schriftsteller und Dichter wie Karl Kraus in der Regel den
Kürzeren. Ihn wegen der Wirkungslosigkeit seines Eintretens zu
verlachen, wie vor Kurzen in Medien geschehen, ist existentielle
Dummheit. Da könnte man auch den zweiten Weltkrieg rechtfertigen, weil
er es geschafft hat, sich zu entfalten, sich quasi durchzusetzen.
  So führt mich die innere Logik über den gemeinsamen Ursprung zur
direktesten semantisch korrekten Übersetzung, die Feuerwall lautet. Die
Unkenntnis des Wortes Feuerwall scheint die Ursache für den falschen
Gebrauch der Mehrheit -- und wiederholend:  der Begriff wurde auch als
"der Firewall" in die Fachsprache eingeführt (meines Wissens durch
Microsoft); erst danach war eine Geschlechtsumwandlung zu beobachten.

 Gerhard

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Matthias Houdek 
Hallo Frank Evers, hallo auch an alle anderen

Dienstag, 4. April 2006 13:01 - Frank Evers wrote:
> Am Dienstag, 4. April 2006 11:33 schrieb Gebhard Dettmar:
> > Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert
> > nicht die Vermeidung von Anglizismen sondern die Einhaltung
> > deutscher Genusregeln für englische Begriffe. Ich hab das auch mal
> > probiert und in einem Artikel über Logfile-Analyse ständig von "dem
> > URL" gesprochen, weil Locator ja wohl maskulin ist - ich habs dann
> > irgendwann aufgegeben, aber im Prinzip hat er recht, da beißt die
> > Maus keinen Faden ab.
>
> Na dann soll er es aber auch richtig machen. Entweder er entschließt
> sich den Begriff korrekt zu übersetzen (DIE Brandmauer), verwendet
> den englischen Begriff direkt und übernimmt den Artikel entsprechend
> (DAS Firewall, denn firewall ist im Englischen neutrum), oder er
> aktzeptiert Firewall als neues (deutsches) Lehnwort mit dem Artikel
> den der Volksmund ihm verpasst hat (DIE Firewall).

Der Duden sagt: die Firewall (auch: der ~) aus dem Englischen wörtlich: 
Brandmauer

Die weibliche Form ist also klar favorisiert, die männliche Form ist 
möglich und rührt offensichtlich aus der (sachlichen falschen) 
Übernahme des Genus vom deutschen Wort "Wall", das mit dem englischen 
Wort "wall" nix zu tun hat.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Sprachwandel (was: Firewall (was: Re: Sicherheit vorm

2006-04-04 Diskussionsfäden Andre Berger 
bösen Internet))
Reply-To:
In-Reply-To: <[EMAIL PROTECTED]>
X-GPG-Fingerprint: 6991 DFD7 5BED A877 779F  F7DE 9A56 EBBE 7FB4 C1A3
X-GPG-Key: 0x7FB4C1A3 : "http://www.keyserver.net";
Mail-Copies-To: nobody

* Gebhard Dettmar (2006-04-04):
> On Tuesday 04 April 2006 02:12, Andre Berger wrote:
> > * Gerhard Wolfstieg (2006-04-03):
> > > [...]
> >
> > Zwar sprechen das Flugzeug und der Computer Englisch. Ich bin aber
> > gern zu Kompromissen bereit, wenn der Feuerwall ein gutes Schild vom
> > Computer bleibt. Weil wenn er nicht die richtigen Haefen blockiert,
> > werden die Viren gedownloadet und dann hat man geloost.
> >
> > SCNR,
> >
> Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert nicht 
> die Vermeidung von Anglizismen sondern die Einhaltung deutscher 
> Genusregeln für englische Begriffe. Ich hab das auch mal probiert und in 
> einem Artikel über Logfile-Analyse ständig von "dem URL" gesprochen, weil 
> Locator ja wohl maskulin ist - ich habs dann irgendwann aufgegeben, aber 
> im Prinzip hat er recht, da beißt die Maus keinen Faden ab.

"Firewall" ist genauso eine Metapher wie der von Gerhard
vorgeschlagene "Feuerwall". Es ist selbstverstaendlich in Ordnung,
seine eigene Interpretation einzubringen, die auf die gemeinsamen
Sprachwurzeln abhebt. Die eigene Metapher dann aber gegen den
ueblichen Sprachgebrauch sowohl im Englischen als auch im Deutschen
als Norm durchsetzen zu wollen, ist ein Kampf gegen Windmuehlen.

Mir persoenlich straeuben sich immer die Nackenhaare bei
"gedownloadet" -- es muss aus systematischen Gruenden natuerlich
"downgeloadet" heissen!

-Andre


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Matthias Houdek 
Hallo Gerhard Wolfstieg, hallo auch an alle anderen

Dienstag, 4. April 2006 12:41 - Gerhard Wolfstieg wrote:
>  Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> > Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht
> > mehr weiblich sein sollte, dann hat Gerhard recht, vorher sicher
> > nicht.
>
> Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

rampart, parapet

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Frank Evers 
Am Dienstag, 4. April 2006 11:33 schrieb Gebhard Dettmar:

> Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert
> nicht die Vermeidung von Anglizismen sondern die Einhaltung
> deutscher Genusregeln für englische Begriffe. Ich hab das auch mal
> probiert und in einem Artikel über Logfile-Analyse ständig von "dem
> URL" gesprochen, weil Locator ja wohl maskulin ist - ich habs dann
> irgendwann aufgegeben, aber im Prinzip hat er recht, da beißt die
> Maus keinen Faden ab.

Na dann soll er es aber auch richtig machen. Entweder er entschließt 
sich den Begriff korrekt zu übersetzen (DIE Brandmauer), verwendet 
den englischen Begriff direkt und übernimmt den Artikel entsprechend 
(DAS Firewall, denn firewall ist im Englischen neutrum), oder er 
aktzeptiert Firewall als neues (deutsches) Lehnwort mit dem Artikel 
den der Volksmund ihm verpasst hat (DIE Firewall).

-- 
Gruß Frank

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Frank Evers 
Am Dienstag, 4. April 2006 12:41 schrieb Gerhard Wolfstieg:
>  Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> > Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht
> > mehr weiblich sein sollte, dann hat Gerhard recht, vorher sicher
> > nicht.
>
> Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

alternativ auch mound oder barrier, je nach Art des Walls.

-- 
Gruß Frank

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Frank Evers 
Am Dienstag, 4. April 2006 12:41 schrieb Gerhard Wolfstieg:
>  Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> > Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht
> > mehr weiblich sein sollte, dann hat Gerhard recht, vorher sicher
> > nicht.
>
> Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

rampart

-- 
Gruß Frank

Re: [OT] Firewall (was: Re: Sicherheit vorm bös en Internet)

2006-04-04 Diskussionsfäden Gerhard Wolfstieg 
 Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht mehr
> weiblich sein sollte, dann hat Gerhard recht, vorher sicher nicht.

Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

 Gruß,  Gerhard

Re: [OT] Firewall (was: Re : Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Felix M. Palmen 
Hallo Gebhard,

* Gebhard Dettmar <[EMAIL PROTECTED]> [20060404 11:33]:
> Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert nicht 
> die Vermeidung von Anglizismen sondern die Einhaltung deutscher 
> Genusregeln für englische Begriffe. Ich hab das auch mal probiert und in 
> einem Artikel über Logfile-Analyse ständig von "dem URL" gesprochen, weil 
> Locator ja wohl maskulin ist - ich habs dann irgendwann aufgegeben, aber 
> im Prinzip hat er recht, da beißt die Maus keinen Faden ab.

Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht mehr
weiblich sein sollte, dann hat Gerhard recht, vorher sicher nicht.

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-04 Diskussionsfäden Gebhard Dettmar 
On Tuesday 04 April 2006 02:12, Andre Berger wrote:
> * Gerhard Wolfstieg (2006-04-03):
> > [...]
>
> Zwar sprechen das Flugzeug und der Computer Englisch. Ich bin aber
> gern zu Kompromissen bereit, wenn der Feuerwall ein gutes Schild vom
> Computer bleibt. Weil wenn er nicht die richtigen Haefen blockiert,
> werden die Viren gedownloadet und dann hat man geloost.
>
> SCNR,
>
Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert nicht 
die Vermeidung von Anglizismen sondern die Einhaltung deutscher 
Genusregeln für englische Begriffe. Ich hab das auch mal probiert und in 
einem Artikel über Logfile-Analyse ständig von "dem URL" gesprochen, weil 
Locator ja wohl maskulin ist - ich habs dann irgendwann aufgegeben, aber 
im Prinzip hat er recht, da beißt die Maus keinen Faden ab.
> -Andre

-- 
Beware of a dark-haired man with a loud tie.

Re: [OT] Firewall (was: Re: Sich erheit vorm bösen Internet)

2006-04-03 Diskussionsfäden Andre Berger 
* Gerhard Wolfstieg (2006-04-03):
> Eine Feuerwand ist eine Wand aus Feuer, wie sie zum Beispiel bei einem
> Waldbrand auf Dich zurasen kann; ein Feuerwall ist das Mittel dagegen.
> Beim ersten Auftauchen des Begriffes firewall wurde auch eine Zeit lang
> korrekt "der Firewall" formuliert bis Viele gleichzeitig offensichtlich
> in Unkenntnis der deutschen Wörter Wall und Feuerwall bei dem englischen
> wall Wand assoziierten. Brandschutzwand oder Brandschutzmauer als
> Begründung ist vollkommen willkürlich.
>   Sprache, sei es Deutsch oder Musik, ist mein Lebenselixier und
> Berufsmedium -- und so was tut weh.

In Zeiten, in denen fuer ganze Berufsgruppen Rektionsschwierigkeiten
und Verkaufsstrategien fuer Viagra ineins fallen, zaehlt das alles
natuerlich doppelt.

>   Berufsspezifisch falschen Sprachgebrauch gibt es immer wieder. So zum
> Beispiel in der Psychologie, wo Motiv und Motivation in genau der
> vertauschten sprachlichen Bedeutung angewandt werden. Dort wird jedeoch
> die falsche Wahl als solch eine anerkannt.
> 
>  Grüße,  Gerhard

Zwar sprechen das Flugzeug und der Computer Englisch. Ich bin aber
gern zu Kompromissen bereit, wenn der Feuerwall ein gutes Schild vom
Computer bleibt. Weil wenn er nicht die richtigen Haefen blockiert,
werden die Viren gedownloadet und dann hat man geloost.

SCNR,

-Andre


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-03 Diskussionsfäden Frank Evers 
Am Montag, 3. April 2006 16:47 schrieb Gerhard Wolfstieg:

> Brandschutzwand oder Brandschutzmauer als Begründung ist vollkommen
> willkürlich.

Das ist nicht willkürlich, sondern die korrekte Übersetzung. Bspw. 
erklärt ein mir hier vorliegendes Englisch-Englisch Wörterbuch, das 
deutlich älter ist als die Verwendung des Wortes Firewall im 
Zusammenhang mit Datenschutzmaßnahmen zum Stichwort firewall:

fireproof (or fire-resistant) wall designed to prevent the spread of 
fire through a building or a vehicle

Ein (Verteidigungs-)Wall dagegen wird nur recht selten und eher 
lyrisch als "wall", meist aber als rampart bezeichnet.

>   Sprache, sei es Deutsch oder Musik, ist mein Lebenselixier und
> Berufsmedium -- und so was tut weh.

Wohlmöglich ist dein Feuerwall defekt und du hast dich am Englischen 
verbrannt?

-- 
Gruß Frank

Re: [OT] Firewall (was: Re: Sicherheit vorm bös en Internet)

2006-04-03 Diskussionsfäden Gerhard Wolfstieg 
Eine Feuerwand ist eine Wand aus Feuer, wie sie zum Beispiel bei einem
Waldbrand auf Dich zurasen kann; ein Feuerwall ist das Mittel dagegen.
Beim ersten Auftauchen des Begriffes firewall wurde auch eine Zeit lang
korrekt "der Firewall" formuliert bis Viele gleichzeitig offensichtlich
in Unkenntnis der deutschen Wörter Wall und Feuerwall bei dem englischen
wall Wand assoziierten. Brandschutzwand oder Brandschutzmauer als
Begründung ist vollkommen willkürlich.
  Sprache, sei es Deutsch oder Musik, ist mein Lebenselixier und
Berufsmedium -- und so was tut weh.
  Berufsspezifisch falschen Sprachgebrauch gibt es immer wieder. So zum
Beispiel in der Psychologie, wo Motiv und Motivation in genau der
vertauschten sprachlichen Bedeutung angewandt werden. Dort wird jedeoch
die falsche Wahl als solch eine anerkannt.

 Grüße,  Gerhard

[OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

2006-04-03 Diskussionsfäden Christian Frommeyer 
Am Montag 03 April 2006 14:12 schrieb Gerhard Wolfstieg:
> PS: "the firewall" ist mit DER Feuerwall zu übersetzen.

Was soll denn ein Feuerwall sein? Eine firewall ist eine Feuerwand. Die 
war früher in Wohnhäusern zur Scheune hin um das Übergreifen eines 
evtl. ausbrechenden Feuers auf das Wohnhaus zu erschweren. Bei alten 
Häusern sieht man das zum Teil noch, das da in der Mitte (oder so) eine 
Wand über das Dach hinaus gemauert ist.

Gruß Chris (CNR)

Subject angepasst

-- 
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-23 Diskussionsfäden Matthias Houdek 
Hallo Mag. Arno Schoblocher, hallo auch an alle anderen

Am Montag, 23. Januar 2006 08:33 schrieb Mag. Arno Schoblocher:
> sorry für pm. Fingerfehler am Montagmorgen :)
>
> > Findest du bei CISCO. Bei physischem Zugriff kein Problem,
> > man muss das
> > Teil nur resetten können. Der Rest ist auf den CISCO-Seiten für die
> > jeweiligen Geräte ausführlich beschrieben. Oder Google fragen, die
> > wissen das auch ;-)
>
> das ist echt pöse :)

Wieso? 

Wenn so ein Cisco-Teil über Jahre zufriedenstellend läuft (bei mir ein 
ISDN-Router) - wer erinnert sich dann noch an das Admin-Passwort? Und 
wer physischen Zugriff hat, könnte das Teil ja auch gegen ein selbst 
konfiguriertes austauschen, dann braucht er kein Passwort.

> >Für die Kopie einmalig 15 Euro, das wäre fair.
>
> Wie gesagt, da sind 10 Änderungen inklusive, egal wieviele Stunden
> die dabei hocken. Solle das Teil kaputtgehen, gibt es ein neues usw.

Na gut. Ist aber trotzdem noch ein stolzer Preis.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

AW: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-23 Diskussionsfäden Mag. Arno Schoblocher 
sorry für pm. Fingerfehler am Montagmorgen :)

> Findest du bei CISCO. Bei physischem Zugriff kein Problem,
> man muss das 
> Teil nur resetten können. Der Rest ist auf den CISCO-Seiten für die 
> jeweiligen Geräte ausführlich beschrieben. Oder Google fragen, die 
> wissen das auch ;-)

das ist echt pöse :)

>Für die Kopie einmalig 15 Euro, das wäre fair.

Wie gesagt, da sind 10 Änderungen inklusive, egal wieviele Stunden die dabei
hocken. Solle das Teil kaputtgehen, gibt es ein neues usw.

arno

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-21 Diskussionsfäden Matthias Houdek 
Hallo Mag. Arno Schoblocher, hallo auch an alle anderen

Am Donnerstag, 19. Januar 2006 13:52 schrieb Mag. Arno Schoblocher:
> > Lall. Das kopiert man aus der 805 in die 837.
>
> haha, ich hab keinen Zugriff, die Dinger gehören nicht mir! Schick
> mal schnell die Anleitung zum Kennwort knacken ;)

Findest du bei CISCO. Bei physischem Zugriff kein Problem, man muss das 
Teil nur resetten können. Der Rest ist auf den CISCO-Seiten für die 
jeweiligen Geräte ausführlich beschrieben. Oder Google fragen, die 
wissen das auch ;-)

> Allerdings kostet die Firewall (also Kopie 805 => 837) "nur" noch EUR
> 15 im Monat, da lohnen sich Investitonen meinerseits wohl nicht mehr
> ( EUR 540 in 3 Jahren), oder? Da sind 10 Änderungen der Konfiguration
> inklusive.

Geiler Preis. Für die Kopie einmalig 15 Euro, das wäre fair.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

AW: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-20 Diskussionsfäden Mag. Arno Schoblocher 
> Nur wird Deine 
> Telekom das nicht mögen.

genau. Deshalb bleibt alles wie es war (abgesehen von 805 auf 837). Nur der
Monatspreis beträgt jetzt 15 statt 54,50 :)


arno

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-19 Diskussionsfäden Marc Haber 
On Thu, 19 Jan 2006 13:52:06 +0100, "Mag. Arno Schoblocher"
<[EMAIL PROTECTED]> wrote:
>> Lall. Das kopiert man aus der 805 in die 837.
>
>haha, ich hab keinen Zugriff, die Dinger gehören nicht mir! Schick mal
>schnell die Anleitung zum Kennwort knacken ;)

Das ist auf der Cisco 8xx-Plattform mit physikalischem Zugriff auf das
Gerät in der Tat trivial. Nur wird Deine Telekom das nicht mögen.

Ich schrieb die Kopie nur deswegen, um die Argumentation Deines
Beraters etwas in Relation zur Realität zu setzen.

>Allerdings kostet die Firewall (also Kopie 805 => 837) "nur" noch EUR 15 im
>Monat, da lohnen sich Investitonen meinerseits wohl nicht mehr ( EUR 540 in
>3 Jahren), oder? Da sind 10 Änderungen der Konfiguration inklusive.
>
>> Eine PIX will man nicht.
>
>Warum? Sind die Bugs lt.
>http://www.sans.org/top20/
>nicht behoben/behebbar?

Ich halte das Konzept der PIX ("kein router, sondern ein NAT-Gateway
mit Access Controls") für fundamentally flawed.

Grüße
Marc

-- 
-- !! No courtesy copies, please !! -
Marc Haber |   " Questions are the | Mailadresse im Header
Mannheim, Germany  | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

AW: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-19 Diskussionsfäden Mag. Arno Schoblocher 
> Lall. Das kopiert man aus der 805 in die 837.

haha, ich hab keinen Zugriff, die Dinger gehören nicht mir! Schick mal
schnell die Anleitung zum Kennwort knacken ;)

Allerdings kostet die Firewall (also Kopie 805 => 837) "nur" noch EUR 15 im
Monat, da lohnen sich Investitonen meinerseits wohl nicht mehr ( EUR 540 in
3 Jahren), oder? Da sind 10 Änderungen der Konfiguration inklusive.

> Eine PIX will man nicht.

Warum? Sind die Bugs lt.
http://www.sans.org/top20/
nicht behoben/behebbar?

arno

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-19 Diskussionsfäden Marc Haber 
On Mon, 16 Jan 2006 09:34:16 +0100, "Mag. Arno Schoblocher"
<[EMAIL PROTECTED]> wrote:
>"Firewall: 
>Ihre derzeitige FW IOS ist eine Software-basierende und am Cisco Router 805
>installiert. 
>Da dieser gegen einen Cisco 837 ausgetauscht wird, und die FW sowiso wieder
>neu aufgesetzt werden müsste, 

Lall. Das kopiert man aus der 805 in die 837.

>möchte ich Ihnen eine Hardware (Anm: offensichtlich auch Cisco) FW PIX 501
>(monatl. Kosten € 49,00) vorschlagen, die um einiges effizienter als eine
>IOS arbeitet."

Eine PIX will man nicht.

Grüße
Marc

-- 
-- !! No courtesy copies, please !! -
Marc Haber |   " Questions are the | Mailadresse im Header
Mannheim, Germany  | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

AW: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-16 Diskussionsfäden Mag. Arno Schoblocher 
Hallo zusammen,

> Geile Geschäftsidee. Wer kauft sowas?
Na ich, nix ärgern, viel zahlen :)

> Jeder halbwegs brauchbare DSL-Hardware-Router 

Hier der genaue Wortlaut von meinem (österr.) Telekom-Berater:
"Firewall: 
Ihre derzeitige FW IOS ist eine Software-basierende und am Cisco Router 805
installiert. 
Da dieser gegen einen Cisco 837 ausgetauscht wird, und die FW sowiso wieder
neu aufgesetzt werden müsste, 
möchte ich Ihnen eine Hardware (Anm: offensichtlich auch Cisco) FW PIX 501
(monatl. Kosten € 49,00) vorschlagen, die um einiges effizienter als eine
IOS arbeitet."

Ich hab mal meinen Berater angefunkt, ob ich Zugang zum Cisco Router
bekomme, wenn ich keine Firewall kaufe. (Warum sollte das nicht gehen? =>
Weil ich mit einem Monopolisten verhandle! DSL gibt es hier genau seit 14!!
TAGEN) 

> > - Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP 
> > bekomme ist ungewiss, die rücken die sicher nicht freiwillig raus.
> 
> Wozu? Wichtig ist, dass du deine Policies kennst. Der Rest 
> hängt eh von 
> der verwendeten Technik ab.

Irgendwie hatte ich bei der damaligen Konfiguration den Eindruck, dass die
Sache mit den 2 IP-Adressen recht kompliziert war - oder der Telekom
Mitarbeiter war nur irgendwie begriffsstutzig.

> sich bei so einfachen Regeln am besten per selbstgeschriebenem Script 
> bewältigen. Entsprechende Beispiele sollten sich finden lassen (gern 
> auch per PM).

darauf komm ich gerne zurück.

> Es gibt auch 
> Programme, die entsprechende Scripte generieren

gut, such ich bei Bedarf.


> IPCOP finde ich ganz gut.

aha :)


Mein Zwischenstand, sortiert nach Priorität:

1) Router selbst konfigurieren
2) IPCop
3) Sarge + FW +... so wenig wie möglich
4) an Telekom 49,-- blechen

Viele Grüsse

arno

Re: Anfänger: Firewall selbst machen - statt vom Provide r mieten

2006-01-14 Diskussionsfäden Marc Haber 
On Fri, 13 Jan 2006 13:07:57 +0100, "Mag. Arno Schoblocher"
<[EMAIL PROTECTED]> wrote:
>also: heimnetzwerk einfach, firmennetzwerk fuuurchtbar gefährlich?

Heimnetzwerk im Zweifel nicht tragisch, Firmennetzwerk im Zweifel
teuer (verlorene Arbeitszeit, Rufverlust, Schadenersatzansprüche von
Kunden etc).

Grüße
Marc, eine Shift-Taste reichend

-- 
-- !! No courtesy copies, please !! -
Marc Haber |   " Questions are the | Mailadresse im Header
Mannheim, Germany  | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-13 Diskussionsfäden Matthias Houdek 
Hallo Mag. Arno Schoblocher, hallo auch an alle anderen

Am Donnerstag, 12. Januar 2006 11:10 schrieb Mag. Arno Schoblocher:
> [...]
>
> Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall
> zur Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre
> macht insgesamt EUR 1.764. 

Geile Geschäftsidee. Wer kauft sowas? 
Jeder halbwegs brauchbare DSL-Hardware-Router hat einen weitestgehend 
frei konfigurierbaren (oft sogar mit zeitlichen Einschränkungen) 
Paketfilter integriert. Das ist schon mal ein guter Anfang für ein 
Firewall-Konzept, für viele reicht es sogar aus. Kostet einmalig nicht 
mehr als bei deinem Provider die Monatsmiete.

> Da frage ich mich, ob ich nicht 
> stattdessen meinen alten Server mit debiam hernehmen soll
> (Serverhardware, PII 266Mhz, 256MB RAM, 2x 8GB SCSI).

Reicht, solange die Hardware noch durchhält (scheint ja nicht mehr ganz 
frisch zu sein).

> - Die Firewall wäre einmalig einzurichten, grossartige Änderungen
> sind nicht zu erwarten. Das war bei der bisher 3 Jahre gemieteten
> Firewall auch schon so.
>
> - Der Internet Provider stellt mir 2 fixe IP-Adressen zur Verfügung.
> (derzeit Standleitung, künftig DSL)
>
> - Jeder Verkehr, der IP "A" und einen best. Port anspricht soll an
> eine interne IP geleitet werden (TerminalServer-Nutzung per RDP).

kein Problem (auch nicht mit Hardware-Routern, vllt. nicht mit jedem)

> - Jeder Verkehr, der IP "B" und mehrere best. Ports anspricht soll an
> eine andere interne IP geleitet werden (Zugriff auf die
> Wartungsschnittstelle des TerminalServers).

dito.

> - Jeder weitere Verkehr von Aussen ist abzublocken (naja, vielleicht
> soll eine IP auf ein ping reagieren). Grosse Themen wie Mailserver,
> FTP-Server und Webserver kommen nicht in Frage!

Macht Sinn. ;-)

> - Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP
> bekomme ist ungewiss, die rücken die sicher nicht freiwillig raus.

Wozu? Wichtig ist, dass du deine Policies kennst. Der Rest hängt eh von 
der verwendeten Technik ab.

> 1)
> Was mein Ihr, wäre die Konfiguration eines solchen Linux
> Firewall-Servers überkompliziert oder eher einfach? (Wie gesagt, ich
> hab kein Problem mit console/manpages/konfigurationsdatein, auch wenn
> mich vim nervös macht)

Wenn die entsprechenden Netzwerkkenntnisse vorhanden sind, sollte die 
Umsetzung kein Problem sein. Schau dir die Doku zu IPTables an (ggf. 
auch ein geeignetes Buch dazu). Die Einrichtung des Paketfilters lässt 
sich bei so einfachen Regeln am besten per selbstgeschriebenem Script 
bewältigen. Entsprechende Beispiele sollten sich finden lassen (gern 
auch per PM).

> 2)
> Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch
> das nicht zum Zwischenspeichern, sondern zum Loggen der
> Useraktivitäten, wer surft wo, wer verschickt welche Datenmengen per
> Mail, wer verbraucht wann welche Datenmengen beim Surfen/Download.

Squid + sarg z.B. - die Problematik der Privatsphäre wurde ja schon 
erörtert.

> 3)
> Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je
> einfacher desto besser)

Wenn du mit Firewall einen Paketfilter meinst: IPTables, läuft im 
Kernel. Die Filterregeln werden durch Konsolenbefehle gesetzt, die sich 
idealer Weise als Script aneinanderreihen lassen. Es gibt auch 
Programme, die entsprechende Scripte generieren - da ist es 
Geschmackssache, sich damit auseinander zu setzen.

> 4)
> Welche debian Version soll ich nehmen? Derzeit liegt mir die Version
> 3.0 r3 "woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob
> mein alter Server eine viel neuere Version verträgt. Vielleicht tut
> es woody mit aktuellen Versionen der einzusetzenden Software auch.

Nimm Sarge, da hast du länger die Sicherheitsupdates.

Alternative: Schon mal an IPCop gedacht?

> 5)
> wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher
> empfehlenswert?

Ah ja, anscheinend schon. IPCOP finde ich ganz gut.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Anfänger: Firewall selbst machen - statt vom Provider mieten

2006-01-13 Diskussionsfäden Til Obes 



4)
Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
"woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter
Server eine viel neuere Version verträgt. Vielleicht tut es woody mit
aktuellen Versionen der einzusetzenden Software auch.


Nimm einfach ipcop. Kann man nur empfehlen.

MfG
Til


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

AW: Anfänger: Firewall selbst machen - statt vom Provide r mieten

2006-01-13 Diskussionsfäden Mag. Arno Schoblocher 
Hallo Marc,

> stillen Kämmerchen (z.B. am privaten Internetzugang daheim) 
> ausprobieren.

das is es ja. daheim hab ich einen wireless router mit eingeb. firewall.
prinzipiell ist alles ausgeschalten, wenn ich wass will muss ich halt in
eine der tabellen was eintragen (z. b. wenn ich mit vnc raus will). ich
erkundige mich in der doku der software was freizuschalten ist und gut ist.
wenn ich etwas freischalte, dann genau was gefordert ist, da kann ich keine
sicherheitslücke auftun. damit hatte ich noch nie probleme oder angriffe. 

meiner meinung nach ist in _meiner_ firma auch nichts anders, nur dass ich
da halt hinter einem port einen TS lauschen hab und an anderen ports die
wartungskarte. dann kommt lang lang nichts, vielleicht muss ich mal fummeln
wenn voice over internet  oÄ freizuschalten ist, das wars dann schon.

ich kenne auch eine "komplizierte" firewall. da gibts aber fernzugriffe
durch lieferanten, kunden, per citrix, direkteinwahl, webserver, ftp-server,
standleitungen, sap fernzugriff, mailserver, windows server, novell, ibm
as/400, linuxserver und und und. das übersteigt mein verständnis um
lichtjahre, aber 4 ports umleiten/freischalten und alles andere geht halt
nicht weil es blockiert wird?

also: heimnetzwerk einfach, firmennetzwerk fuuurchtbar gefährlich?

arno

Re: Anfänger: Firewall selbst machen - statt vom Provide r mieten

2006-01-13 Diskussionsfäden Marc Haber 
On Thu, 12 Jan 2006 10:31:40 +0100, "Mag. Arno Schoblocher"
<[EMAIL PROTECTED]> wrote:
>es folgt jetzt eine Grundsatzfrage, ob ich debian linux einsetzen soll oder
>nicht, die technischen Details die ich gebe sollen nur zeigen, was der
>Firewall leisten soll.

Konfiguration und Betrieb einer Firewall braucht tiefgehendes Wissen
über das eingesetzte Betriebssystem und _sehr_ solide Kenntnisse von
TCP/IP. Und selbst dann würde ich nicht gleich an ein Produktivsystem
gehen wollen, sondern das erstmal im stillen Kämmerchen (z.B. am
privaten Internetzugang daheim) ausprobieren.

Grüße
Marc

-- 
-- !! No courtesy copies, please !! -
Marc Haber |   " Questions are the | Mailadresse im Header
Mannheim, Germany  | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Richard Mittendorfer 
Also sprach "Mag. Arno Schoblocher" <[EMAIL PROTECTED]> (Thu, 12
Jan 2006 11:10:24 +0100):
> Hallo zusammen,

Hi,

> [...]
> Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall
> zur Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre
> macht insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen
> meinen alten Server mit debiam hernehmen soll (Serverhardware, PII
> 266Mhz, 256MB RAM, 2x 8GB SCSI).

Tut schon. Bei aelterer HW ist halt die Ausfallswahrscheinl. hoeher.

> - Die Firewall wäre einmalig einzurichten, grossartige Änderungen sind
> nicht zu erwarten. Das war bei der bisher 3 Jahre gemieteten Firewall
> auch schon so.

Ist mit Kenntnis der iptables kein Problem. www.netfilter.org 

> - Der Internet Provider stellt mir 2 fixe IP-Adressen zur Verfügung.
> (derzeit Standleitung, künftig DSL)
>
> - Jeder Verkehr, der IP "A" und einen best. Port anspricht soll an
> eine interne IP geleitet werden (TerminalServer-Nutzung per RDP).

Redirect

> - Jeder Verkehr, der IP "B" und mehrere best. Ports anspricht soll an
> eine andere interne IP geleitet werden (Zugriff auf die
> Wartungsschnittstelle des TerminalServers).

Redirect
 
> - Jeder weitere Verkehr von Aussen ist abzublocken (naja, vielleicht
> soll eine IP auf ein ping reagieren). Grosse Themen wie Mailserver,
> FTP-Server und Webserver kommen nicht in Frage!

DROP
 
> - Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP
> bekomme ist ungewiss, die rücken die sicher nicht freiwillig raus.

Sollte nicht schwer werden. Wenn du zumindest weisst, was die alte
Firewall getan hat, dies zu reproduzieren.

> 1)
> Was mein Ihr, wäre die Konfiguration eines solchen Linux
> Firewall-Servers überkompliziert oder eher einfach? (Wie gesagt, ich
> hab kein Problem mit console/manpages/konfigurationsdatein, auch wenn
> mich vim nervös macht)

Eher einfach, aber es haengt von deinem Wissen ab. Du schriebst ja, dass
du keine/wenig Erfahrung mit Linux/iptables hast. Daher solltest du dich
in die Materie einarbeiten und es auf einem Testrechner mal zum laufen
bringen und vor allem _verstehen_.
   
> 2)
> Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch das
> nicht zum Zwischenspeichern, sondern zum Loggen der Useraktivitäten,
> wer surft wo, wer verschickt welche Datenmengen per Mail, wer
> verbraucht wann welche Datenmengen beim Surfen/Download.

Proxy (mit besserer Hardware oder einen wirklich simplen Proxy) und
Mailgateway sind verschiedene Dinge. 

Um nur die Volumina mitzuloggen iptables's counter auslesen, darkstat
o.ae.

Die Beantwortung dieser Frage ist nicht moeglich ohne die genauen Ziele
zu kennen.

> 3)
> Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je
> einfacher desto besser)

iptables. sowas wie tinyproxy - squid auf der HW kaum empfehlenswert.

> 4)
> Welche debian Version soll ich nehmen? Derzeit liegt mir die Version
> 3.0 r3 "woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob
> mein alter Server eine viel neuere Version verträgt. Vielleicht tut es
> woody mit aktuellen Versionen der einzusetzenden Software auch.

Sarge.

> 5)
> wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher
> empfehlenswert?

Ja / kommt darauf an.
 
> Vielen Dank für die Geduld,
> 
> arno

sl ritch

AW: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Mag. Arno Schoblocher 
Danke Frank,

> Mit 
> einem Editor solltest du natürlich schon umgehen können.

kein Problem, dafür gibts ja Baldriantee ;)

> Privatsphäre..?

nix! ==> Betriebsvereinbarung vorhanden

> Sarge.

ok.

Viele Grüsse

arno

Re: Anfänger: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Matthias Haegele 

Roland Harke schrieb:
[...]
Da gibts bei Heise "http://www.heise.de/ct/ftp/projekte/srv/"; ein 
erfolreiches Project für einen Server auf der Basis von IPCOP.
Ansonsten eben nur IPCOP; der beansprucht aber die gesamte HD auf der er 
installiert wird - egal wie groß.
Uups. Dachte das könnte man auch nur von CD booten, und die Config per 
Floppy mitgeben, danke für den Hinweis.

Bei mir läuft das Heise Project klaglos seit einem 3/4 Jahr.

Guter Tipp. Danke.


Gruß, Roland

Grüsse MH


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Harald Weidner 
Hallo,

"Mag. Arno Schoblocher" <[EMAIL PROTECTED]>:

>Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall zur
>Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre macht
>insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen meinen
>alten Server mit debiam hernehmen soll (Serverhardware, PII 266Mhz, 256MB
>RAM, 2x 8GB SCSI).
>
>- Die Firewall wäre einmalig einzurichten, grossartige Änderungen sind nicht
>zu erwarten. Das war bei der bisher 3 Jahre gemieteten Firewall auch schon
>so.

Technisch ist es kein Problem, deine Anforderungen mit einer einfachen,
schlanken Debian-Maschine zu lösen. Ob eine Alternative zu dem
Provider-Angebot sinnvoll ist oder nicht, hängt im wesentlichen von den
Faktoren ab:

- welches Sicherheitsniveau willst du erreichen?
- welches Know-How hast du?
- wie viel darf das ganze kosten?

Ein Provider bietet in der Regel ein mittleres Sicherheitsniveau. Er
kann es besser als ein Laie, aber wenn er nicht gerade auf Security
spezialisiert ist, würde ich die Firewall bei hohen Anforderungen
eher einem Security-Experten überlassen. Oder selbst zum Experten
werden.

>Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers
>überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit
>console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht)

Mit fundiertem Netzwerk Know-How ist das sehr einfach; ohne ziemlich
schwierig, insbesondere wenn es auch sicher sein soll.

>Wäre es möglich den Server auch als Proxy zu verwenden?

Wenn es ein Web-/Mail-Proxy sein soll, ja. Für andere Dienste müsste man
überprüfen, inwiefern es für diese Protokolle Proxy-Software gibt.

>Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je einfacher
>desto besser)

Meine Empfehlungen sind
Paketfilter: FWconf, http://www.weidner.ch/fwconf.html
Web-Proxy: Squid, evtl. mit Squidguard
Mail-Proxy: Postfix
aber die Geschmäcker sind bekanntlich verschieden. ;-)

Auf jeden Fall ist es wichtig, sämtliche Anwendungsdiente in chroot-
Umgebungen mit streng limitierten Rechten zu betreien, was mit Squid
und Postfix gut machbar ist.

>Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
>"woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter
>Server eine viel neuere Version verträgt. Vielleicht tut es woody mit
>aktuellen Versionen der einzusetzenden Software auch.

Ich weiss nicht, was für eine Hardware du hast, aber für den genannten
Anwendungsbereich würde ich eine aktuelle Debian-3.1 mit Kernel 2.6
verwenden, wenn es irgendwie geht.

>wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher empfehlenswert?

Ich kenne IPCop nur oberflächlich und Gibraltar überhaupt nicht. Aber
Lösungen dieser Art haben meiner Erfahrung nach oft Probleme mit dem
Online Update im laufenden Betrieb, was eine der Stärken von Debian ist.
Außerdem hängt die Weiterentwicklung oft von wenigen Personen ab; während
der Fortbestand von Debian über alle Zweifel erhaben ist.

Gruß, Harald


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Anfänger : Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Andreas Kretschmer 
am  12.01.2006, um 11:31:12 +0100 mailte Mag. Arno Schoblocher folgendes:
> Danke Andreas,
> 
> > Mail: wenn Du das loggen willst, müßtest Du wohl einen SMTP 
> > aufsetzen. Bei Debian ist Exim dabei und dieser ist auch sehr 
> > flexibel.
> 
> mit "Mail loggen" hab ich mich falsch ausgedrückt. Mir geht es da nur um die
> Datenmenge die von einem User verursacht wird. Wer, wem, wann, was genau
> geschickt hat ist mir egal.

Dann kannst Du z.B. spezielle Regeln für SMTP, POP, IMAP erstellen und
ab und an Statistiken von iptables darüber abfragen.


> 
> Was kann ich von LiveCD's wie wie "IPCop" oder "Gibraltar" für meine Zwecke
> halten?

Dazu kann ich mangels Erfahrung exakt NIX sagen.


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47212,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

AW: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Mag. Arno Schoblocher 
sorry, doppelt gepostet wg. mail delivery error.

arno



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Frank Terbeck 
Mag. Arno Schoblocher <[EMAIL PROTECTED]> wrote:
> Hallo zusammen,
[...]
> 1)
> Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers
> überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit
> console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht)

IMHO ist eine Firewall für einen Anfänger ein ergeiziges Projekt,
da es ein grosses Grundwissen vorraussetzt.
Mit einem Editor solltest du natürlich schon umgehen können. :)
Wenn dich verrückt macht, kannst du auch den emacs probieren... Wenn der
dich noch wahnsinniger macht solltest du dir mal dieses Buch zulegen:
<http://tinyurl.com/d67g9>

> 2)
> Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch das nicht
> zum Zwischenspeichern, sondern zum Loggen der Useraktivitäten, wer surft wo,
> wer verschickt welche Datenmengen per Mail, wer verbraucht wann welche
> Datenmengen beim Surfen/Download.

Privatsphäre..?

> 3)
> Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je einfacher
> desto besser)

Das würde ich an deiner Stelle nach dem gründlichen Einarbeiten selbst
entscheiden.

> 4)
> Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
> "woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter
> Server eine viel neuere Version verträgt. Vielleicht tut es woody mit
> aktuellen Versionen der einzusetzenden Software auch.

Sarge.

> 5)
> wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher empfehlenswert?

Kenne ich nicht...

Gruss, Frank



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

AW: Anfänger: Firewall selbst machen - statt vom Provide r mieten

2006-01-12 Diskussionsfäden Mag. Arno Schoblocher 
Danke Andreas,

> Mail: wenn Du das loggen willst, müßtest Du wohl einen SMTP 
> aufsetzen. Bei Debian ist Exim dabei und dieser ist auch sehr 
> flexibel.

mit "Mail loggen" hab ich mich falsch ausgedrückt. Mir geht es da nur um die
Datenmenge die von einem User verursacht wird. Wer, wem, wann, was genau
geschickt hat ist mir egal.

Was kann ich von LiveCD's wie wie "IPCop" oder "Gibraltar" für meine Zwecke
halten?

> FW: iptables. Es gibt GUI's dafür, IMHO braucht man die aber 
> nicht. Wenn man TCP/IP versteht, versteht man auch native iptables.

schaumermal :)

> Proxy: squid

ok

Viele Grüsse

arno

PS: Mein ursprüngliches Mail kommt nochmal, da ich eine Mail delivery
failed: returning message to sender-Meldung erhalten habe. Bitte ignorieren.

Re: Anfänger: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Roland Harke 
On Thursday 12 January 2006 11:24, Matthias Haegele wrote:
> Mag. Arno Schoblocher schrieb:
> > Hallo zusammen,
>
> Hallo!.
>
> > Nun ist es so, mein Internetprovider würde mir eine
> > Hardwarefirewall zur Verfügung stellen, kostet EUR 49 im Monat
> > gebunden auf 3 Jahre macht insgesamt EUR 1.764. Da frage ich mich,
> > ob ich nicht stattdessen meinen alten Server mit debiam hernehmen
> > soll (Serverhardware, PII 266Mhz, 256MB RAM, 2x 8GB SCSI).
>
> [...]
>
> > - Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP
> > bekomme ist ungewiss, die rücken die sicher nicht freiwillig raus.
>
> Die rücken die gar nicht raus :-).
>
> > 1)
> > Was mein Ihr, wäre die Konfiguration eines solchen Linux
> > Firewall-Servers überkompliziert oder eher einfach? (Wie gesagt,
> > ich hab kein Problem mit console/manpages/konfigurationsdatein,
> > auch wenn mich vim nervös macht)
>
> Evtl. wäre auch mal zum "ausprobieren" eine "Distribution" alla
> "Ip-Cop" interessant,
> (selbst nicht probiert), vielleicht könnte man sich da ein paar
> "erzeugte Regeln" abschauen,
>   iptables "ist nicht ganz trivial" (zumindest für mich nicht ;-) ).
>
> [...]
>
> > Welche debian Version soll ich nehmen? Derzeit liegt mir die
> > Version 3.0 r3 "woody" vor, nicht gerade hyperaktuell aber fraglich
> > ist, ob mein alter Server eine viel neuere Version verträgt.
> > Vielleicht tut es woody mit aktuellen Versionen der einzusetzenden
> > Software auch.
>
> Sarge? -> wg. Securityupdates
>
> > Vielen Dank für die Geduld,
> >
> > arno
>
> hth (a little) & Grüsse
> MH
Da gibts bei Heise "http://www.heise.de/ct/ftp/projekte/srv/"; ein 
erfolreiches Project für einen Server auf der Basis von IPCOP.
Ansonsten eben nur IPCOP; der beansprucht aber die gesamte HD auf der er 
installiert wird - egal wie groß.
Bei mir läuft das Heise Project klaglos seit einem 3/4 Jahr.

Gruß, Roland
-- 
[EMAIL PROTECTED]

Newbie: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Mag. Arno Schoblocher 
Hallo zusammen,

es folgt jetzt eine Grundsatzfrage, ob ich debian linux einsetzen soll oder
nicht, die technischen Details die ich gebe sollen nur zeigen, was der
Firewall leisten soll. Ich erwarte jetzt also keine Hilfe bei der
Konfiguration. 

Interessehalber hab ich schon suse bzw. debian linux auf einem alten
Novell-Server installiert und damit herumexperimentiert, ich bin also
Anfänger mit Windows-Erfahrung (20 User, Terminal Server, Druck-Faxserver).
Ich würde Linux gerne einsetzen konnte aber bisher keine Anwendung für mich
finden, ursprünglich wollte ich einen Druckserver machen, mangels
Linuxtreiber konnte ich aber nicht.

Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall zur
Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre macht
insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen meinen
alten Server mit debiam hernehmen soll (Serverhardware, PII 266Mhz, 256MB
RAM, 2x 8GB SCSI).

- Die Firewall wäre einmalig einzurichten, grossartige Änderungen sind nicht
zu erwarten. Das war bei der bisher 3 Jahre gemieteten Firewall auch schon
so.

- Der Internet Provider stellt mir 2 fixe IP-Adressen zur Verfügung.
(derzeit Standleitung, künftig DSL)

- Jeder Verkehr, der IP "A" und einen best. Port anspricht soll an eine
interne IP geleitet werden (TerminalServer-Nutzung per RDP).

- Jeder Verkehr, der IP "B" und mehrere best. Ports anspricht soll an eine
andere interne IP geleitet werden (Zugriff auf die Wartungsschnittstelle des
TerminalServers).

- Jeder weitere Verkehr von Aussen ist abzublocken (naja, vielleicht soll
eine IP auf ein ping reagieren). Grosse Themen wie Mailserver, FTP-Server
und Webserver kommen nicht in Frage!

- Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP bekomme ist
ungewiss, die rücken die sicher nicht freiwillig raus.

1)
Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers
überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit
console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht)

2)
Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch das nicht
zum Zwischenspeichern, sondern zum Loggen der Useraktivitäten, wer surft wo,
wer verschickt welche Datenmengen per Mail, wer verbraucht wann welche
Datenmengen beim Surfen/Download.

3)
Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je einfacher
desto besser)

4)
Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
"woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter
Server eine viel neuere Version verträgt. Vielleicht tut es woody mit
aktuellen Versionen der einzusetzenden Software auch.

5)
wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher empfehlenswert?

Vielen Dank für die Geduld,

arno

Re: Anfänger: Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Matthias Haegele 

Mag. Arno Schoblocher schrieb:

Hallo zusammen,

Hallo!.

Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall zur
Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre macht
insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen meinen
alten Server mit debiam hernehmen soll (Serverhardware, PII 266Mhz, 256MB
RAM, 2x 8GB SCSI).

[...]


- Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP bekomme ist
ungewiss, die rücken die sicher nicht freiwillig raus.

Die rücken die gar nicht raus :-).


1)
Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers
überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit
console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht)
Evtl. wäre auch mal zum "ausprobieren" eine "Distribution" alla "Ip-Cop" 
interessant,
(selbst nicht probiert), vielleicht könnte man sich da ein paar 
"erzeugte Regeln" abschauen,

 iptables "ist nicht ganz trivial" (zumindest für mich nicht ;-) ).



[...]

Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
"woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter
Server eine viel neuere Version verträgt. Vielleicht tut es woody mit
aktuellen Versionen der einzusetzenden Software auch.

Sarge? -> wg. Securityupdates


Vielen Dank für die Geduld,

arno

hth (a little) & Grüsse
MH


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Anfänger : Firewall selbst machen - statt vom Provider mieten

2006-01-12 Diskussionsfäden Andreas Kretschmer 
am  12.01.2006, um 10:31:40 +0100 mailte Mag. Arno Schoblocher folgendes:
> 1)
> Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers
> überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit
> console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht)

kommt auf den Betrachtungswinkel an, aber an sich eher einfach. Du wirst
Dich mit iptables beschäftigen wollen, aber das hat eine sehr gute Doku.


> 
> 2)
> Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch das nicht
> zum Zwischenspeichern, sondern zum Loggen der Useraktivitäten, wer surft wo,
> wer verschickt welche Datenmengen per Mail, wer verbraucht wann welche
> Datenmengen beim Surfen/Download.

Im Prinzip ja, an sich nimmt man einen Router zum routen und einen Proxy
dafür. Aber - es geht. Achte auf eine sorgfältige Konfiguration der
Dienste, insbedondere, wohin diese lauschen.


> 
> 3)
> Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je einfacher
> desto besser)

FW: iptables. Es gibt GUI's dafür, IMHO braucht man die aber nicht. Wenn
man TCP/IP versteht, versteht man auch native iptables.

Proxy: squid

Mail: wenn Du das loggen willst, müßtest Du wohl einen SMTP aufsetzen.
Bei Debian ist Exim dabei und dieser ist auch sehr flexibel.



> 
> 4)
> Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
> "woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter

3.1


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47212,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Anfänger: Firewall selbst machen - statt vom Provider mi eten

2006-01-12 Diskussionsfäden Mag. Arno Schoblocher 
Hallo zusammen,

es folgt jetzt eine Grundsatzfrage, ob ich debian linux einsetzen soll oder
nicht, die technischen Details die ich gebe sollen nur zeigen, was der
Firewall leisten soll. Ich erwarte jetzt also keine Hilfe bei der
Konfiguration. 

Interessehalber hab ich schon suse bzw. debian linux auf einem alten
Novell-Server installiert und damit herumexperimentiert, ich bin also
Anfänger mit Windows-Erfahrung (20 User, Terminal Server, Druck-Faxserver).
Ich würde Linux gerne einsetzen konnte aber bisher keine Anwendung für mich
finden, ursprünglich wollte ich einen Druckserver machen, mangels
Linuxtreiber konnte ich aber nicht.

Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall zur
Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre macht
insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen meinen
alten Server mit debiam hernehmen soll (Serverhardware, PII 266Mhz, 256MB
RAM, 2x 8GB SCSI).

- Die Firewall wäre einmalig einzurichten, grossartige Änderungen sind nicht
zu erwarten. Das war bei der bisher 3 Jahre gemieteten Firewall auch schon
so.

- Der Internet Provider stellt mir 2 fixe IP-Adressen zur Verfügung.
(derzeit Standleitung, künftig DSL)

- Jeder Verkehr, der IP "A" und einen best. Port anspricht soll an eine
interne IP geleitet werden (TerminalServer-Nutzung per RDP).

- Jeder Verkehr, der IP "B" und mehrere best. Ports anspricht soll an eine
andere interne IP geleitet werden (Zugriff auf die Wartungsschnittstelle des
TerminalServers).

- Jeder weitere Verkehr von Aussen ist abzublocken (naja, vielleicht soll
eine IP auf ein ping reagieren). Grosse Themen wie Mailserver, FTP-Server
und Webserver kommen nicht in Frage!

- Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP bekomme ist
ungewiss, die rücken die sicher nicht freiwillig raus.

1)
Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers
überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit
console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht)

2)
Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch das nicht
zum Zwischenspeichern, sondern zum Loggen der Useraktivitäten, wer surft wo,
wer verschickt welche Datenmengen per Mail, wer verbraucht wann welche
Datenmengen beim Surfen/Download.

3)
Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je einfacher
desto besser)

4)
Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
"woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter
Server eine viel neuere Version verträgt. Vielleicht tut es woody mit
aktuellen Versionen der einzusetzenden Software auch.

Vielen Dank für die Geduld,

arno

NFS fixed Port Firewall

2005-12-22 Diskussionsfäden Gerwin Bruner 
Hi,sorry for bothering you.I'm not sure if this is the best way to get in touch witch you, but it is the only one I found.I'm trying to map via nfs thru a firewall. I already managed to tie the nfs to port 2049, mountd to 4002.The only thing which is not working is to get nlockmgr onto port 4001.I tried to use following option in modules.confoptions lockd fs.nfs.nlm_tcpport=4001 fs.nfs.nlm_udpport=4001and also this oneoptions lockd nlm_udpport=4001 nlm_tcpport=4001none worked.Is there any way to change the port? What did I miss out?Thanks,GerwinKernel 2.6Debian Sargemodprobe lockdfilename:       /lib/modules/2.6.8-2-686-smp/kernel/fs/lockd/lockd.koauthor:         Olaf Kirch <[EMAIL PROTECTED]>description:    NFS file locking service version 0.5.license:        GPLvermagic:       2.6.8-2-686-smp SMP preempt 686 gcc-3.3depends:        sunrpc

Re: Log-Meldung von Firewall verstehen

2005-12-01 Diskussionsfäden Andreas Kretschmer 
am  01.12.2005, um  9:54:51 +0100 mailte Heimo Ponnath folgendes:
> hi Chris,
> 
> Am Donnerstag, 1. Dezember 2005 08:48 schrieb Christian Frommeyer:
> > Ein Blick in die Kernelquellen sagt: die erste ist die Ziel-Adresse
> > des Pakets, die 2. die Source-Adresse.
> 
> Danke: das war es, was ich wissen wollte.
> 
> > Googel.
> 
> Hab ich natürlich gemacht: 2.180.000 Fundstellen. Bis zur ca. 200. 
> hatte ich die Geduld und habe auch eine Menge dazu erfahren, aber 

Du solltest Deine Suchstrategie optimieren.

http://netfilter.org -> Documentation

Dann einfach mal guggen, da kommt dann u.a. unter Tutorials ein Punkt:
'Netfilter Log Format'.


Mit freundlichen Grüßen, A. Kretschmer 
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47212,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Log-Meldung von Firewall verstehen

2005-12-01 Diskussionsfäden Heimo Ponnath 
hi Chris,

Am Donnerstag, 1. Dezember 2005 08:48 schrieb Christian Frommeyer:
> Ein Blick in die Kernelquellen sagt: die erste ist die Ziel-Adresse
> des Pakets, die 2. die Source-Adresse.

Danke: das war es, was ich wissen wollte.

> Googel.

Hab ich natürlich gemacht: 2.180.000 Fundstellen. Bis zur ca. 200. 
hatte ich die Geduld und habe auch eine Menge dazu erfahren, aber 
niemand hielt es bis dahin der Mühe wert, die Bedeutung der beiden 
IP-Adressen zu erwähnen. Ein typischer Fall bei Google, daß die 
gesuchte Information in der Informationsfülle untergeht.

Dank und Gruß von Heimo
-- 
Heimo Ponnath Design, Rotenhäuserstr. 51, 21109 Hamburg
Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/

Re: Log-Meldung von Firewall verstehen

2005-11-30 Diskussionsfäden Christian Frommeyer 
Am Mittwoch 30 November 2005 18:22 schrieb Heimo Ponnath:
> martian source 192.168.2.8 from 192.168.1.22, on dev ppp0
> feindliche Quelle

sagen wir eine unbekannte (martian = marsianisch)

> Was mir nicht klar ist, das ist die Bedeutung der beiden IP-Adressen:

Ein Blick in die Kernelquellen sagt: die erste ist die Ziel-Adresse des 
Pakets, die 2. die Source-Adresse.

> Weiss das jemand von Euch genauer - oder kann mir Tips geben, wo ich
> genaueres dazu finden kann?

Googel.

Gruß Chris

-- 
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon

Re: Log-Meldung von Firewall verstehen

2005-11-30 Diskussionsfäden Heimo Ponnath 
Hallo Matthias,

Am Mittwoch, 30. November 2005 20:57 schrieb Matthias Haegele:
>> martian source 192.168.2.8 from 192.168.1.22, on dev ppp0
> Beide Adressen sind aus dem "privaten Netzwerkbereich", werden im
> "Internet" nicht geroutet (kann also schonmal nicht die "wirkliche
> IP eines Angreifers sein)", du gehst direkt über ein DSL-Modem
> raus?. Wie ist denn deine "lokale IP-Adresse"?. Es gibt keinen
> anderen PC nur das DSL-Modem im "Netz"?

Es gibt zwei Netze bei mir: 192.168.1 und 192.168.2.
Beide hängen an dem Firewallrechner, der über drei Netzwerk-Karten 
verfügt: Eine für das DSL-Modem und je eine für die beiden Netze.

ppp0 ist die Schnittstelle zum DSL-Modem.
Keine der in der martian source Meldung angegebenen IP-Adressen 
existiert in den vorhandenen Netzen.

Es kommen übrigens auch andere Meldungen ähnlicher Art, z.B.:

martian source 80.171.81.233 from 127.155.157.122, on dev ppp0
martian source 80.171.81.233 from 0.54.16.182, on dev ppp0

Dabei ist die jeweils erste IP-Adresse aus dem Pool von Hansenet.

Gruß von Heimo
-- 
Heimo Ponnath Design, Rotenhäuserstr. 51, 21109 Hamburg
Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/

Re: Log-Meldung von Firewall verstehen

2005-11-30 Diskussionsfäden Matthias Haegele 

Heimo Ponnath schrieb:

Liebe Liste,

Hallo!.


solche und ähnliche Meldungen erhalte ich gelegentlich von meiner 
Firewall:


martian source 192.168.2.8 from 192.168.1.22, on dev ppp0

Die "böse Quelle" ist angeblich die IP 192.168.2.8, Rest k.a.


Im Prinzip ist mir schon klar, was da gemeldet wird: Daß nämlich eine 
feindliche Quelle an meine Firewall angeklopft hat und daß sie aus 
der DSL-Verbindung herrührt.


Was mir nicht klar ist, das ist die Bedeutung der beiden IP-Adressen: 
Soll das heissen, daß von 192.168.1.22 angeklopft wurde unter 
Vortäuschung der IP-Adresse 192.168.2.8? Oder heisst es, daß ein 
Computer, der vorgibt 192.168.2.8 zu sein, die Verbindung zu einem 
Computer 192.168.1.22 versucht aufzubauen? Oder...???
Beide Adressen sind aus dem "privaten Netzwerkbereich", werden im 
"Internet" nicht geroutet (kann also schonmal nicht die "wirkliche IP 
eines Angreifers sein)", du gehst direkt über ein DSL-Modem raus?.
Wie ist denn deine "lokale IP-Adresse"?. Es gibt keinen anderen PC nur 
das DSL-Modem im "Netz"?


Weiss das jemand von Euch genauer - oder kann mir Tips geben, wo ich 
genaueres dazu finden kann?


Herzlich grüßt

Heimo

Grüsse
MH


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Log-Meldung von Firewall verstehen

2005-11-30 Diskussionsfäden Heimo Ponnath 
Liebe Liste,

solche und ähnliche Meldungen erhalte ich gelegentlich von meiner 
Firewall:

martian source 192.168.2.8 from 192.168.1.22, on dev ppp0

Im Prinzip ist mir schon klar, was da gemeldet wird: Daß nämlich eine 
feindliche Quelle an meine Firewall angeklopft hat und daß sie aus 
der DSL-Verbindung herrührt.

Was mir nicht klar ist, das ist die Bedeutung der beiden IP-Adressen: 
Soll das heissen, daß von 192.168.1.22 angeklopft wurde unter 
Vortäuschung der IP-Adresse 192.168.2.8? Oder heisst es, daß ein 
Computer, der vorgibt 192.168.2.8 zu sein, die Verbindung zu einem 
Computer 192.168.1.22 versucht aufzubauen? Oder...???

Weiss das jemand von Euch genauer - oder kann mir Tips geben, wo ich 
genaueres dazu finden kann?

Herzlich grüßt

Heimo
-- 
Heimo Ponnath Design, Rotenhäuserstr. 51, 21109 Hamburg
Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/

Re: Firewall

2005-11-25 Diskussionsfäden Peer Oliver Schmidt 

Hallo Andreas,


Aus diesem Grunde ist eine zusätzliche Absicherung der Arbeitsstation
durch einen eigenen Schutzmechanismus (wie z.B. eine Firewall),
sinnvoll. Interne Sabotage ist ein weiterer Punkt, welcher in Griff
bekommen werden muss.



IMHO ist in obigen Faellen eine Firewall nicht die 1. Wahl, sondern ein
Virenscanner. 


Beides. Wenn zu Zeiten von Code-Red ein interner Benutzer aus welchen 
Gründen auch immer den Wurm eingeschleppt hat, wird der SQL Server von 
innen abgeschossen.


Ich bin der Meinung, dass man hier durch einen geringen zusätzlichen 
Aufwand einen im Verhältnis grosse ROI bekommt. Würde ich das immer und 
überall machen? Nein. In dem Moment, wo meine Mandanten/ Kunden aber 
schon viel Zeit und Geld investieren, um einen 24/7 mit 99komma zu 
realisieren, sind das Punkte die beachtet werden sollten.

--
Mit freundlichen Grüßen

Peer Oliver Schmidt
the internet company
PGP Key ID: 0x83E1C2EA


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

  1   2   3   4   5   6   7   >