© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Patrick Hess wrote:
> Hallo,
>
> Andreas Braukmann schrieb:
>
>>On Mon, Mar 24, 2003 at 08:48:17PM +0100, Patrick Hess wrote:
>>
>>>ich blättere mal wieder ein bißchen in meinem Buch "Linux-
>>>Sicherheit",
>>
>>Autsch. Das L-Wort hab ich jetzt nicht gesehen ;-)
>>(Dennoch schade, ... denn das Buch kenne ich nicht. :-/ Man
>>kann nicht alles lesen.)
>
>
> Ich finde es eigentlich ganz gut. Etwas vergleichbares für FreeBSD
> habe ich bisher nicht gefunden. Das meiste läßt sich aber
> problemlos auf FreeBSD übertragen.
Mal systemunabhängig sind IMO folgende 3 Bücher wirklich empfehlenswert:
1) Firewall-Systeme
Norbert Pohlmann
ISBN: 3-8266-4075-6
2) Internet-Sicherheit
William Stallings
ISBN: 3-8273-1697-9
3) TCP/IP - Internetprotokolle im professionellen Einsatz
Matthias Hein
ISBN: 3-8266-4035-7
Die ersten beiden geben meiner Meinung nach einen recht umfassenden und
guten Überblick über die Konzepte von Firewall-Systemen, das 3. erklärt
IP und aufsetzende Protokolle sehr, sehr, sehr umfassend.
Etwas für die Paranoia ist:
Maximum Protection
Ryan Russel, Stace Cunningham
ISBN: 3-8266-0687-6
Davon gibt's aber sicher Äquivalente wie Sand am Meer (Anti-Hacker-Buch,
...)
>>>Konkret habe ich hier einen kleinen Netzwerkserver mit
>>>FreeBSD 4.5-Release am Laufen, welcher über den PPP eine Dial-Up-
>>>Verbindung mit NAT unterhält und als Gateway für das kleine LAN
>>>fungiert. Als Paketfilter habe ich die IPFW laufen.
>>
>>Warum ipfw? Reicht Dir die Funktionalitaet der PPP-Filter
>>nicht aus?
>
> Öh, weiß nicht. Das Handbuch beschreibt IPFW als DEN Paketfilter.
> Da habe ich den auch glatt genommen, ohne groß über Alternativen
> nachzudenken. Ich empfand die Syntax von dem Teil auch als recht
> angenehm.
Den PPP filtern zu lassen bringt gleich noch den Vorteil, dass man ihn
anweisen kann, die Pakete zu ignorieren. Das heisst, die Pakete löschen
den Timer nicht, bis der pppd die Verbindung beendet - spart ggf.
Online-Zeit und damit u.U. auch Geld.
>>Du musst allerdings aufpassen, dass Du
>>die Pakete erwischst, bevor sie durchs NAT gelaufen
>>sind.
>
> Gute Frage...
Also das net vom ipf kann man so konfigurieren, dass es nur von innen
nach außen umsetzt. Was von außen kommt, wird genommen, wie's kommt,
außer es ist ein Reply-Paket (klar, sonst wär' das nat ja etwas sinnlos).
>>Machst Du Dein NAT mit natd oder laesst Du es
>>vom ppp erledigen?
>
>
> Letzteres: NAT läuft hier über den PPP.
>
>
>>Falls letzteres zutrifft, wuerde
>>ich das Antispoofing auch im ppp erledigen.
>
>
> Nun habe ich es über IPFW erledigt, weil ich auch alles andere
> damit filtere. Habe ich mir durch diese Konstellation irgendwelche
> Nachteile eingefangen? Bringt meine IPFW-Anti-Spoofing-Regel
> dadurch vielleicht nicht mal was?
>
>
>>Wenn Dein Rechner auf dem aesseren (ppp-) Interface
>>keine Dienste anbietet, ist das allerdings halb so
>>wild, weil die NAT-Funktionalitaet Deine Aussenseite
>>IMHO hinreichend schuetzt.
>
>
> Nein, ich biete keinerlei Dienste nach außen hin an. Die Kiste
> sollte demnach ja eigentlich schon recht sicher sein, aber die ein
> oder andere zusätzliche Vorkehrung kann wohl nicht schaden.
>
Na dann ist es ja einfach (ipf-Syntax):
block in on tun0 all
pass quick out on tun0 proto tcp from any to any flags S/SA keep state
keep frags
pass quick out on tun0 proto udp all keep state
pass quick out on tun0 proto icmp all keep state
Eine gute Anleitung, die sich auch leicht auf ipf umsetzen lassen
müsste, findet sich unter http://www.ipfilter.org/ im IP-Filter HowTo.
So long,
Jens
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 24 Mar 2003 - 23:08:27 CET