Re: Problem: Dual Homed Gateway

From: J Wunsch <j(at)uriah.heep.sax.de>
Date: Wed, 21 Oct 1998 20:59:11 +0200



As Gerd Bitzer wrote:



> Habe von verschiedenen Seiten gehört, daß OSPF bei weitem RIP


> vorzuziehen ist.



Sicher, ist aber halt auch mehr Aufwand.  Solange ich lokal zwei, drei


Router managen will _und_ die Eigenheiten/Probleme von RIP kenne, kann


ich damit auch leben.  Für besagte `generate network unreachable iff


router is not available'-Entscheidung genügt es allemal.



>  Genausowenig sollte ne FW weder von Innen noch von Außen irgendwie


> sichtbar sein, noch nicht mal per icmp, oder auch nicht auf


> Broadcasts (z.B. xdmcp) reagieren.



Da bin ich nicht ganz einer Meinung.  Ich habe kein Problem damit,


wenn ein Firewall von innen (je nachdem, wie groß und überschaubar


,,innen'' von Fall zu Fall ist) via Port 22 erreichbar ist, und ich


manage in der Tat einige Kunden-Firewalls auf diese Weise.  Hätte ich


die Möglichkeit nicht, müßte ich Turnschuh-Administration betreiben,


was die Kosten gewaltig in die Höhe treiben würde für einen


vergleichsweise geringen Sicherheitszuwachs.



Auch sehe ich kein Problem, wenn ein Firewall vernünftige Antworten


gibt statt ,,Geheimdiest-Schwarzes Loch'' zu spielen.  Auf eine


Anfrage an Port 23 kann er schon ruhig auch mit ,,Connection refused''


antworten, ohne daß ihm ein Zacken aus der Krone fällt.  Auf eine


Anfrage an Port 113 (auth) _muß_ er sogar damit antworten, falls er


selbst auch aktiv SMTP verteilt (andernfalls rennen die sendmail, die


er anspricht, unnötig in einen Timeout, statt sofort mit der Annahme


der Mail fortzufahren).



> Das Stateful Inspection Filtering der FW1 seh ich (und z.B. Leute


> bei Integralis, die FW1 schulen) eher als Packetfilter an, der aber


> z.B. auch bei connectionless Protokollen (udp ..)


> Statusinformationen intern mitführt.



Sicher, was in der Art ist es.  Andere Filter benötigen mehr


Intelligenz, FTP ist dabei sicher das Standardbeispiel (sekundäre


Verbindung).



>  Aber das Thema dürfte hier eher OT sein.



Naja, es hatte jemand eine Frage zum Thema Firewall, insofern ist hier


doch fast nichts OT. ;-)



-- 
cheers, J"org
joerg_wunsch@uriah.heep.sax.de -- http://www.sax.de/~joerg/ -- NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)


Received on Wed 21 Oct 1998 - 21:21:43 CEST













search this site