Martin Heinen <martin(at)sumuk.de> wrote:
> Je nachdem wie paranoid man ist und man sollte umso paranoider
> [...]
> Demzufolge sollte in /etc/hosts.allow auch noch
>
> | sshd: 10.0.x.x : allow
> | sshd : ALL : deny
>
> stehen.
Apropos Paranoia: Man kann auch ipf und ipfw kombinieren.
Und schließlich ist es natürlich äußerst sinnvoll, den Pa-
ketfilter auf einer separaten Maschine laufen zu lassen;
da gehören keine Services drauf. (Ein ausrangierter 486er
genügt dafür völlig, zumindest wenn der Uplink nicht nen-
nenswert schneller als eine übliche DSL-Leitung ist.)
Darüberhinaus kann man natürlich direkte Verbindungen im
Paketfilter komplett sperren und sämtliche Transfers über
Application-Level-Gateways (Proxies) dirigieren. Das wür-
de ich dann als einen »richtige« Firewall bezeichnen. ;-)
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sun 30 Dec 2001 - 15:08:58 CET