Re: Firewall Tipp - Linux - offtopic

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Thu, 12 Aug 2004 17:30:52 +1000 (EST)

Andreas Braukmann wrote:
> Moin,
>
> --On Donnerstag, 12. August 2004 10:42 Uhr +1000 Peter Ross
> <Peter.Ross(at)alumni.tu-berlin.de> wrote:

>>> Kauf eine Netscreen.
>> Es hat schon ein paarmal Server in der DMZ ausgehend geblockt,
>> ohne dazu aufgefordert zu sein,
>
> Computer haben die unangenehme Eigenschaft, genau das zu
> tun, was man ihnen sagt; nicht etwa das, was man dachte
> ihnen gesagt zu haben.

Nein, das Netscreen definitiv nicht - es hat irgendwann mal aufgehoert,
dem Mailserver ausgehende SMTP-Pakete zu gestatten. Das Gleiche ist dem
DNS-Server passiert - irgendwann hatte Netscreen keine Lust mehr.
Lustigerweise konnte ich sogar auf dem DNS-Server "nslookup" per Hand
erledigen - es war Netscreen wohl wichtig, von welchem Port es kam. Ein
Neubooten des Netscreen-Device behebt das Problem dann wieder fuer eine
Woche.

Ich bin sowohl das Webinterface als auch die Textdatei Stueck fuer Stueck
durchgegangen und konnte weder Einstellungen, die DoS-Attacken verhindern
sollen (Gedankengang: Wenn der DNS-Server zuviele Pakete sendet, knips ich
ihn als DoS-Quelle aus) oder Einschraenkungen, die Ports des TCP-Clients
betreffend, eingeschaltet finden.

Fuer uns heisst es jetzt nur noch "die Kiste spinnt, ich gehe mal
rebooten", weil wir die Kiste nicht ausblasen koennen (da wuerde sich ein
Schlipstraeger, der geoutsourct hat, zu sehr auf den Schlips getreten
fuehlen).

Ich bin mir ganz sicher, dass ich als Verantwortlicher soetwas nicht will
- ich weiss, dass es besser geht.

Text<->GUI - ich weiss, das man auch mit Textfiles Mist bauen kann, aber
es ist einfacher, einen Fehler bei fuenfzig Menupunkten zu produzieren,
die man nie gleichzeitig sieht, und bei dreien wundert sich der Fachmann,
dass es sie ueberhaupt gibt ("was hast Du da angeklickt, das habe ich noch
nie gesehen")

Bei einem Textfile weiss ich, dass ich bei EOF alle Einstellungen
durchgelesen habe.

Gruss
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 12 Aug 2004 - 09:31:26 CEST

search this site