Re: Basiswissen firewall

On Tue, Feb 18, 2003 at 06:48:40PM +0100, Peter Danecek wrote:
> Bernd Walter wrote:
> >On Tue, Feb 18, 2003 at 04:00:18PM +0100, Peter Danecek wrote:
> >>1. ipfilter /ipfw
> >ipfw ist IMO die Featurereichste.
> >Ich selber benutze ipfw.
> >ipfilter hingegen ist auch auf anderen Systemen vorhanden und hat
> >scheinbar auch eine bessere Qualität.
> >
> Ist ipfw Teil des FreeBSD-Projekt und nur auf *BSD verfügbar, oder wie
> darf soll ich das verstehen?

Es ist nur auf FreeBSD verfügbar.
ipfilter ist auch außerhalb *BSD verfügbar.

> >>2. Infos
> >>
> >>Wo gibt es gute Basis-/Referenz-Infos. Welche Ports sind für was
> >>notwendig, welche Protokolle werden wann eingesetzt, usw.
> >
> >Da solltest du am besten ein wenig googlen, oder ein entsprechendes
> >Buch kaufen.
> >In wenigen Worten ist das jedenfalls nicht zu erklären und es gehört
> >auch eine Portion Erfahrung dazu.
> >
> So etwa habe ich mir das auch vorgestellt. Da ich aber erstmal nur
> Verkehr von außen sperren so weit sinnvoll sperren will und für mich
> selber offen halten will, dachte ich, ich könnte mich an den Anleitungen
> des FreeBSD-Projektes orientieren. Ein schnelle Lösung, damit meine
> dialup-Verbindung nicht länger als nötig die Kasse von t-offline
> klingeln lässt.

Die default Regeln sind sicherlich durchdacht.

> Für die Details habe ich gehofft, dass es eine nette Referenz gibt, die
> beschreibt, welche Dienste auf welchen Ports aktiv sind. Klar weiss ich
> das z.B. für ssh, HTTP usw. aber z.B. für nfs (nicht das ich das hier
> bräuchte, wüsste ich das schon nicht mehr).

Da muß dir dann ein anderer weiterhelfen.
Ich habe mit solchen Dokumenten selten zu tun.

> >Kommt darauf an, was du für Situtaionen erwartest.
> >Du kannst problemlos eine Leitung mit Packeten unbrauchbar machen.
> >Wenn du erst nach dem Nadelöhr filterst, dann hast du keine Chance
> >die Leitung freizuhalten.
> >Letzlich ist es aber einfacher zu Administrieren, wenn die Firewall
> >auf deiner Seite steht.
> >Und wenn einer eine Leitung dichtmacht, dann macht der im Bedarfsfall
> >auch die nächstgrößere Leitung davor dicht.
> >
> Ich denke, das im Rechenzentrum, deutlich mehr Bandbreite zur Verfügung
> steht, so dass es nicht all zu schwer sein sollte unsere Leitung dicht
> zu machen, ohne dass andere Leitungen betroffen wären.

In den Fall muß man von Absicht ausgehen, da die meisten Protokolle
ja die Bandbreite den Begebenheiten anpassen.
Und wenn es jemand mit Absicht macht, dann hat der in der Regel auch
keine Probleme die Leitung eines Rechenzentrums dichtzubekommen.

> Meine Idee wäre, auf der Seite des RZ zumindest das zu sperren, was wir
> den Welt nicht anbieten oder was wir von unserer Seite nicht
> kontrollieren können (v.a. UDP) und den Rest in der Bandbreite so zu
> beschränken, dass uns etwas zum Arbeiten übrigbleibt.

UDP ist normalerweise kein Problem.

> Die Frage zielte vor allem darauf ab, wieviel Kontrolle wir mit dummynet
> auf unserer Seite überhaupt erreichen können und ob das überhaupt ein
> sinnvoller Ansatz sein könnte.

Wenn Ihr natürlich den Aufwand nicht scheut, dann kann man natürlich
mit einem System auf der externen Seite der Anbindungsleitung etwas
mehr tun.
Meist reicht ein System auf der inneren Seite aber vollkommen.
Manchmal ist es auf Anbieterseite sogar nur mit erheblichem Aufwand
zu realisieren, da z.B. mehrere Leitungen auf einem Mehrkanalinterface
gemeinsam in den Router gehen - da kann man keine Firewall mehr
zwischenklemmen.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message