© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo,
J Wunsch wrote:
> As Rainer M Duffner wrote:
>
> > Was mich immer noch interessieren würde, ist was es denn bei
> > NAT+Firewall (ipfw) zu beachten gibt - das erwähnte Tutorial listet ja
> > noch auf, man solle routed aktivieren - ein anderes Tutorial, das ich
> > aufgegriffen habe sagt nichts davon, und so wie ich die diverse
> > Literatur verstanden habe, sollte auch kein Routing aktiv sein.
>
> Wer routed auf einem Firewall aktiviert, gehört erschlagen.
Die Empfehlungen professioneller FW Berater geht dahin, auf FW's nur statisches
Routing einzusetzen.
>
>
> routed hat außerdem nichts, aber auch absolut gar nichts damit zu tun,
> ob die entsprechende Maschine IP-Forwarding betreibt oder nicht.
> routed managt dynamische Routing-Protokolle, das noch dazu in einer
> ziemlich stupiden Art und Weise (deshalb hat er auf einem Firewall
> nichts verloren -- wenn Du dort derartige Funktionalität wirklich
> benötigst, dann nimm GateD).
>
> Ob Du auf einem Firewall IP-Forwarding aktivieren willst oder nicht,
> hängt von der Architektur Deines Firewalls und dem gewünschten Zweck
> ab. Wenn Du alles in application-level proxies erledigen kannst,
> brauchst Du kein IP-Forwarding und bist eine Runde sicherer. Einige
> kommerzielle Produkte arbeiten grundsätzlich auf diese Weise
> (Checkpoint Firewall-1, AltaVista, Borderware). Mit FreeBSD (oder
FW1 hat auch ein paar Application Level Proxy artige Dienste, dort Security
Server genannt.
>
> Linux) wirst Du eine derartige Lösung wohl nur bekommen, wenn Du Dich
> auf einige wenige Protokolle wie HTTP/email/anonFTP beschränkst und
> dafür dann gängige Proxies installierst. Willst Du mehr (und z. B.
> auch tatsächlich dann natd einsetzen), so mußt Du zwangsläufig
> forwarden.
Netcat soll sich z.B. als universeller Proxy einsetzen lassen.Hab ich aber noch
nie probiert.
>
>
> Gemessen an den Fragen, die Du hier stellst (die ziemlich grund-
> legender Natur sind), würde ich an Deiner Stelle aber das Projekt
> lieber mit jemandem unternehmen, der ein bißchen mehr Ahnung davon
> hat. Die Gefahr ist sonst groß, daß Du Dir irgendwelche Sicherheits-
> löcher einhandelst, die Du nicht überschaust.
>
> --
> cheers, J"org
>
> joerg_wunsch@uriah.heep.sax.de -- http://www.sax.de/~joerg/ -- NIC: JW11-RIPE
> Never trust an operating system you don't have sources for. ;-)
Gruß, G.Bitzer
Received on Mon 19 Oct 1998 - 09:26:27 CEST