Re: packetfilter, schlecht oder was ?

From: Clemens Hermann <haribeau(at)GMX.de>
Date: Fri, 24 Jan 2003 09:28:37 +0100

Am 24.01.2003 um 09:14:19 schrieb Hannes Widmer:

Hallo Hannes,

> Als ich meinem Arbeitskollegen erzählte, dass ich nun meine Firewall
> mit iptables aufsetze war der fast schokiert und meinte, dass dies
> deine der schlechtesten Varianten sei eine Firewall aufzubauen da
> diese nur auf die IP Adresse achtet. Er meinte das ich eine Firewall
> mit der "Stateful Packet inspection" aufsetzen sollte.

iptables bietet ebenfalls die Möglichkeit der stateful inspection. Was
allerdings stimmt ist, dass bis zum 2.2er Kernel (ipchains) stateful
inspection unter Linux nicht verfügbar war. FreeBSD bot diese Möglichkeit
früher.

> Nun, was meint ihr Obergurrus dazu ? *s*...

dass es sinnvoll wäre, sich vor installation einer "Firewall" erstmal klar
darüber zu werden was man überhaupt tut. Da Du von Begriffen wie stateful
filtering überrascht wirst und darüber den Rat von Gurus einholst, wäre
es sicher sinnvoll, erstmal entsprechende Doku zu studieren.

Bei Linux kann ich damit leider nicht dienen, aber FreeBSD-Seitig findest
Du z.B. unter www.freebsd-howto.com einiges zu ipfw/ipfilter. Weiterhin
ist das ipfilter-howto zu empfehlen, was Dir auch für Linux helfen würde.

Schlussendelich ist eine Firewall mehr als ein Filter für IP-Pakete, egal ob
mit oder ohne stateful-inspection.

Grüße

/ch

-- 
"Contrary to popular belief, Unix is user friendly.
It just happens to be selective about who it makes friends with."
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 24 Jan 2003 - 09:55:11 CET

search this site