hallo gemeinde ;)

ich habe einen hardware-router zuhause. dahinter steht ein linux-server (für aussen nur http). es werden auch nur port 80 und die edonkey-ports zum server weitergeleitet. beide sind 24/7 online.

jetzt meine frage:
lohnt es sich, auf dem server ebenfalls noch die iptables aufzuschalten? ich habs bis jetzt jedenfalls noch nicht getan. oder ist das überflüssig?

gruss, downtown

meiner meinung nach ist das überflüssig, da bei den routern ja auch fast immer ne integrierte firewall/paket-filter drin ist
welchen router haste denn?

ciao
psy

ich habe einen us. robotics broadband-router 8000 (http://www.usr-emea.com/loc-grmy/modem_files/8000-grmy-Specs.pdf) mit aktueller firmware. es sind eigentlich alle ports gesperrt, bis auf den 80er und 4662. paketfilter und nat werden unterstützt.
ich frage darum, ob sich das überhaupt lohnt....

die frage ist eher warum nicht?

einfach nur http und https freigeben und gut ist.. dann sit das ding echt sicher und viel arbeit ist es auch nicht

Original geschrieben von psy
meiner meinung nach ist das überflüssig, da bei den routern ja auch fast immer ne integrierte firewall/paket-filter drin ist
Nein, es ist nicht überflüssig: Wird der Router versehentlich falsch konfiguriert oder gelingt es einem Angreifer den Router zu kompromittieren, so ist immernoch die Firewall des Servers im Weg. Stichwort: Single Point of Failure.

Gruss, Andy

Zuviel Sicherheit geht gar net. Und zwei Firewalls blocken mehr als eine ;)

gut, ihr habt mich überzeugt ;)

ich werde mich also ranhalten und iptables konfigurieren :D

danke und gruss
downtown

Zuviel Sicherheit geht gar net.

ich hab sogar drei Paketfilter/Firewalls :)
(wobei die letzte "nur" ne Personal-FW ist....)


gruß,
matze


ps.: und auf jedem server ist zusätzlich noch ein iptables-script

Wenn du nun bei zwei Firewalls das gleiche Regelset verwendest, dann hast du auch nichts gewonnen ;)

Gruss, Andy

Original geschrieben von RapidMax
Wenn du nun bei zwei Firewalls das gleiche Regelset verwendest, dann hast du auch nichts gewonnen ;)

Gruss, Andy


genau meine meinug :D

hi,

meine regeln sind nicht gleich, weil:

http://www.linuxforen.de/forums/showthread.php?s=&threadid=71949

ich hab also schon von der architektur des netzes her strikt getrennt......
jeder rechner in der dmz hat 2 interfaces und darf auch nur das notwendigste - die verbindung nach innen über den paketfilter geht auch nicht, abgesehen von syslog, was auf meiner workstation zusammenläuft.

ich traue diesen black-box-artigen HW-Routern nicht, meiner ist ziemlich unsicher und schlecht für seine 200 teuros :(

also immer langsam mit den pauschalen bewertungen :)


gruß,
matze

Original geschrieben von Matzetronic
hi,

meine regeln sind nicht gleich, weil:

http://www.linuxforen.de/forums/showthread.php?s=&threadid=71949

ich hab also schon von der architektur des netzes her strikt getrennt......
jeder rechner in der dmz hat 2 interfaces und darf auch nur das notwendigste - die verbindung nach innen über den paketfilter geht auch nicht, abgesehen von syslog, was auf meiner workstation zusammenläuft.


Hab ich mir gerade mal angesehen. Wozu dient das 172er Netz? Das kannst Du doch eigentlich weglassen, damit sparst Du paar Netzwerkkarten und Dein Firewallskript wird wahrscheinlich einfacher.

hi,

ich möchte gern vom internen netz nur über das 172-er netz auf meine server zugreifen (z.b. ssh, donkey-webinterface).
ich darf nach draussen generell z.b. ftp+http+https, aber zum mldonkey-pc will ich nur via ssh und webinterface-port - und zwar auch nur in dieser richtung. routen in das 10-er netz existieren auf den servern auch nicht, sodaß die nur den paketfilter "sehen".
die einsparung ist mir klar, ich hab auch vorher lange überlegt - 4 netzwerkkarten mehr oder weniger machen den kohl auch nich fett :ugly:

grüße,
matze