On Thu, 04 Sep 2008 00:09:49 +0200 lists
also Firewall am Router und an den "normalen" Clients ist hochgefahren, nur die vom DMZ Rechner nicht. Ich sehe schon das einfachste waere ne Firewall aufzusetzen und meinen Services nur bestimmte Ports zuzuteilen.
Kann Dir da grad nicht ganz folgen. Es gibt eigentlich nur ein gültiges Setup für eine DMZ, aber daneben schwirren noch Variationen herum, die sich gelegentlich auch "DMZ" schimpfen. "Normal" gehen die Clients im LAN über die Firewall (samt NAT und/oder Proxy) in die DMZ und von dort geht ein Router mit einfachem Filter ins public Internet. Hat den Charme, dass man das LAN doppelt schützen kann: Durch Filter am Access Router UND durch Filter (plus ALG/Proxy) in der Firewall. Firewall, Router und sonstige Teilnehmer haben alle gültige, öffentliche Internet-Adressen und alles ist gut. Paketfilter auf den DMZ-Hosts kann man machen, muss man aber nicht. Eine "sogenannte" DMZ kann auch beinhalten, dass die Firewall am Access Router hängt (ggf.: der Access Router IST) und ein Interface ins LAN und ein extra Interface zur DMZ hat. Ohne Access Router mit Filter fehlt allerdings die 2-Stufigkeit der LAN-Absicherung, weshalb ich das nicht so toll finde. Außerdem ist die DMZ vom Funktionieren der Firewall abhängig, was man eigentlich nicht will. Eine Variation dazu ist die Arme-Leute-Lösung, die auch mit drei Interfaces an der Firewall arbeitet, aber die DMZ ebenso wie das LAN mit privatem Adressraum betreibt und per Port-Forwarding beschickt. Das ist eigentlich ein Krampf, weil man damit viele Services, die eine öffentliche IP-Adresse "sehen" wollen gar nicht oder nur sehr umständlich realisieren kann. In welcher Variante Du Deine Installation ansiedelst, ist mir nicht ganz klar geworden.
Danke an alle fuer die Infos.
Als erstes schau ich mir mal AppArmor an ;)
Sicher auch nicht uninteressant, auch wenn es vermutlich mittelfristig stirbt, nachdem der Hauptprogrammierer zum Feind übergelaufen ist. Mit Firewall hat das eigentlich nichts zu tun, eher mit Systemhärtung. En vogue scheint mittlerweile eher SE-Linux zu sein. Der Weg dahin ist aber ein steiniger. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org