© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Oliver Fromme schrieb:
> Patrick Hess <patrick_hess(at)t-online.de> wrote:
> Mit Statistiken ist das so eine Sache ... Die üblichen
> IP-Ranges der Dial-in-Pools der bekannten Provider werden
> ohnehin ständig von allen möglichen Leute gescannt. Wenn
> Du Dich einwählt hast, schlägt bei Dir nach spätestens
> zehn Minuten garantiert irgendwas auf. Aber wenn Du Dei-
> nen IPFW loggen läßt, weiß Du das ja selbst.
Das stimmt allerdings - 10 Minuten sind da sogar noch untertrieben:
serv1:/var/log > grep "Mounting" messages ; grep "ipfw" messages
Oct 3 21:12:15 serv1 /kernel: Mounting root from ufs:/dev/ad0s1a
Oct 14 12:55:49 serv1 /kernel: Mounting root from ufs:/dev/ad0s1a
Oct 15 16:55:33 serv1 /kernel: Mounting root from ufs:/dev/ad0s1a
Oct 3 21:30:17 serv1 /kernel: ipfw: limit 10 reached on entry 1600
Oct 14 13:01:38 serv1 /kernel: ipfw: limit 10 reached on entry 1700
Oct 15 17:15:14 serv1 /kernel: ipfw: limit 10 reached on entry 1700
1600 bzw. 1700 ist die Default-Deny-Regel :-(
> > "Vertrauen" in Software ist so eine Sache. Es gibt keine
> > fehlerfreie Software. Programme werden immer noch von Menschen
> > geschrieben und die machen halt nunmal Fehler.
>
> Wenn Du IPFW nicht »vertraust«, wieso benutzt Du es dann
> überhaupt?
>
> Bei ssh ist das schon viel schlimmer; das ist nicht wirk-
> lich zu durchschauen (und ich traue ssh auch nicht -- zu
> recht, wie die Historie zeigt).
Aber du verwendest es. Warum? Vermutlich, weil es keine Alternative
gibt (Telnet sehe ich jetzt mal nicht als Ersatz an ;-). So geht es
mir auch mit der IPFW. Wobei "nicht vertrauen" vielleicht nicht
ganz der richtige Ausdruck ist. Sagen wir mal, ich verlasse mich
ungern nur auf _einen_ Schutz. Das hat nichts mit IPFW im
speziellen zu tun. Nur leider habe ich noch keinen zweiten Schutz.
Ja, ich muß mich in BSD noch einarbeiten. Aber deinen Tipp mit
IPF und IPFW im Doppelpack werde ich mir auf jeden Fall mal näher
ansehen.
> > [...] Bleibt noch das Thema IP-Spoofing...
>
> Auch da hilft IPFW, zumindest für's Gröbste.
Würdest du trotzdem zusätzliche Software empfehlen? Ich habe vor
einiger Zeit mal im Netz gesucht und auch einige Anti-IP-Spoofing-
Tools für FreeBSD gefunden. Ich konnte aber nicht wirklich etwas
damit anfangen. Keine Ahnung, ob diese Pakete etwas getaugt hätten.
Dann würde mich noch eine letzte Frage interessieren: Sind
eigentlich in letzter Zeit kritische Sicherheitslücken in der
Paketfiltersoftware von FreeBSD aufgetreten? Bin leider noch nicht
lange im BSD-Lager, als daß ich es mitbekommen hätte.
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 18 Oct 2002 - 21:59:12 CEST