Re: welche Firewall soll ich nehmen ?????

From: Joerg Wunsch <j(at)uriah.heep.sax.de>
Date: Wed, 6 Mar 2002 22:08:42 +0100

As Richard Kaestner wrote:

> > > Da gibt es IPFW, IPFilter ...
> >
> > Das sind aber nur Paketfilter und keine Firewall.

> Ich haette die Frage anders stellen sollen:
> gibt es technische Praeferenzen fuer eine der Beiden?

ipfilter war lange Zeit als einziger der beiden stateful. Inzwischen
kann auch ipfw sowas aber. Kleiner Vorteil von ipfilter ist dabei
immer noch, daß er den Status auch beim Reload der Regeln behalten
kann, während man bei ipfw erstmal komplett alles rauswerfen muß,
bevor man neu lädt. Damit vergrößert sich die Gefahr, daß man sich
aussperrt, wenn man beim neu Laden selbst übers Netz eingeloggt ist.
Außerdem hat ipfilter noch den Vorteil auf anderen Plattformen
(interessant am ehesten dabei Solaris) zu laufen, so daß man nur ein
Produkt lernen muß, wenn man Multiplattformsupport zu betreuen hat.

All das ist für Dich sehr wahrscheinlich kein Thema. Beide sind auch
beim NAT etwas verschieden, kann Dich aber auch nicht interessieren,
da das Dein Router schon macht.

> Derzeit laeuft nur Apache, die Log files zeigen alle moeglichen Angriffe
> (Nimda, CodeRed, ...) und Scans.

Ja und? Nimda, CodeRed und wie sie alle heißen, sind für den Indianer
ja kein Problem.

> Alle anderen Ports sind abgedreht (bereits am Netgear).
> Es soll noch Mail und (wahrscheinlich) ssh erlaubt werden.
> (ssh vor allem, damit ich selbst von Aussen in mein Netz kann)

OK, dann mußt Du sie im Netgear erlauben.

Wenn Du weiter nichts willst, würde ich erstmal ganz spontan sagen: Du
braucht keinen packet filter. Du installierst einfach nur diese drei
Serverdienste (Apache, sendmail oder was auch immer, und sshd), alles
andere bleibt abgeklemmt. Damit ist Dein System so sicher, wie diese
drei Server sind, aber daran würde auch ein packet filter nichts mehr
ändern. Alle anderen Ports sind dann sowieso nicht offen, da es
keinen Dienst dafür gibt.

-- 
cheers, J"org               .-.-.   --... ...--   -.. .  DL8DTL
http://www.sax.de/~joerg/                        NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 06 Mar 2002 - 22:10:09 CET

search this site