© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Moin,
On Wed, Jul 05, 2000 at 05:17:09PM +0200, Georg Graf wrote:
> IMHO geht es vielmehr darum, daß man dumme clients (commandline ftp von
> linux und winXX) unterstützen will.
für die gibt es dann einen "normalen" ftp-proxy (nicht ftp über http!).
Ich sehe nicht ein, die Sicherheit des Firmennetzes auf dem Altar der
schlechten Software zu opfern.
> trotzem gut. geht das mit der keep-state und check-state Syntax im
> ipfw? wie?
Genau das frage ich mich halt auch. Wäre mal ein Thema für freebsd-ipfw.
> > > Es wird wohl doch sinnvoll sein, einen squid auf der firewall laufen
> > > zu haben, besser noch zwischen 2 firewalls.
> >
> > Weia, wieso gleich mit dem Atombombenteppich auf den Einzeller? Tut es
> > ein "normaler" ftp-proxy nicht auch? Der hat auch den Vorteil, daß die
> > Dauersauger ihre Download-Tools (Getright, Gozilla) nicht nutzen können.
> > Spart auf Dauer Bandbreite...
> >
> Ich halte die modernen Hacker und Ihre tools nicht für Einzeller. sorry.
Das meinte ich auch nicht. Was ich meinte: Einen Squid zu installieren,
nur damit man einen "ftp-proxy" hat (und dann nicht mal einen richtigen,
sondern nur ftp-over-http), *das* ist die Atombombe für den Einzeller.
Und außerdem ist squid ein caching proxy und keine Firewall. Paket filtering
macht man mit ipfw und/oder 'ne Cisco (teurer, aber das Setup der ACLs ist
IMHO deutlich logischer als bei ipfw).
> Wenn Dein squid-host gehackt ist, *dann* bist Du froh, daß von dem aus das
> wirkliche Lan nicht erreichbar ist.
Seit wann kann man sich auf dem squid-host von einem Host außerhalb des
Firmennetzes einloggen? Der hat für Logins eine eigene IP-Adresse aus den
nicht gerouteten Netzen zu haben, die für sonst nichts genutzt wird. Und
auf der IP-Adresse lauscht genau der sshd. Und auf der normalen IP-Adresse
lauscht genau der squid. Und sonst nichts.
Und natürlich fangen die ACLs der Router auf allen Interfaces und in alle
Richtungen mit denies für Traffic von und an die nicht gerouteten Netze
sowie 127.* an. Danach hat eine Serie expliziter denies für von außen
kommende setups auf die "Well Known Trojan Ports" zu folgen, diesmal
allerdings inkl. logging auf /dev/lp oder ähnliches.
Und der Admin guckt immer mal wieder mit strobe o.ä. ins Netz, ob da
jemand wieder unnötige Dienste anbietet. Das ist einer der Punkte, an
denen ich den Paranoia der OpenBSD-Macher liebe: Die Kisten sind erstmal
zu, wenn man Dienste braucht, schaltet man die an.
ObZitat: "The art of war teaches us to rely not on the likelihood of the
enemy's not coming, but on our own readiness to receive him, not on the
chance of his not attacking, but rather on the fact that we have made our
position unassailable."
> Ja, bei uns ist auch der squid die einzige Firewall, aber wünschen tät ich
> mir schon die Zeit, sowas schön aufzusetzen ;-)
Du hast gerade "Wir haben keine Firewall, bitte hackt uns" geschrieben.
/s/Udo
-- "Finish the following setence: All power corrupts, absolute power..." "...is even more fun." "Correct." To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 05 Jul 2000 - 19:03:06 CEST