PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall für was?



maxxle
03.03.02, 12:07
Mich würde mal intressieren, was mir eine Firewall bei folgender konstellation nützt:

Ein Rechner (dahinter kann ja noch ein Zweiter stehen, der über den ersten ins Inet geht) hängt am Inet. Die göffneten Ports sind für SSH und FTP-Server und fürs surfen.

=> Ich hab drei geöffnete Ports und meine Firewall kann in der schwächsten config (wenn sie nicht auf IP-Adressen Ranges beschränkt ist was ja im Inet wenig sinn macht) alle anderen Ports blocken und nur die drei geöffnet lassen. Jetzt frag ich mich aber, was mir das bringt, wenn ich sowieso keinen Dienst laufen hab, der auf bestimmt Ports hört. :confused: Ein potentieller Attacker kann ja nur da angreifen, wo er auch was findet, das angreifbar ist - hier Port21 der ja geöffnet sein muss

linux_n00b
03.03.02, 15:03
1. Wenn Du SSH und FTP nur für Deine Workstation offen haben willst, dann kannst Du die Verbindungen über eine Firewall filtern.

2. Du könntest so Scans entgehen. Das heisst, dass "Hacker" überhaupt nicht erst auf die Idee kommen zu schauen, ob z.B. ein wu_FTPd läuft.

Elektronator
03.03.02, 18:08
@maxxle: du hast schon recht.

Wenn du ssh und ftp nicht auf feste IPs im Internet beschränken willst, nützt FILTER hier nichts.

Sobald du aber den Rechner als Gateway für irgendwelche anderen Dienste benutzen willst (icq, ftp, etc.), brauchst du sowieso NAT.

Und da FILTER und NAT beide iptables-Bestandteile sind, schreibt man das üblicherweise ins gleiche, nämlich das firewall-script.

Würde mich aber echt wundern, wenn du wirklich nur 3 offene ports hättest (netstat -a).

Grüße Chris

maxxle
03.03.02, 22:21
Natürlich hab ich nicht nur 3 offene Ports. Hinter meinem Router (NAT) hängt noch der eine oder andere Rechner. Aber genau das hat mich intressiert. THX

anda_skoa
04.03.02, 11:55
Mir ist noch was eingefallen.

Du solltest auf jeden Fall die Regeln gegen IP Spoofing drinnen haben, also wenn eine Paket am externen Interface daher kommt und behauptet es wäre von einem Rechner im internen Netz.

Oder es kommt mit einer Zieladresse im internen Netz, die es ja wegen NAT auch nicht außerhalb geben kann.

Ciao,
_