Am Fre, 31 Mär 2000 schrieb Steffen Dettmer:
* Marc Schiffbauer wrote on Fri, Mar 31, 2000 at 09:24 +0200:
Wenns sicher sein soll, wuerde ich eine Firewall immer nur *einzig* und *allein* Firewall sein.
Yepp, und Firewall ist Packet Filter plus Proxies (plus logging etc.pp)
Apropos Proxies, wenn ich auf der Firewall Proxies laufen lasse kann ich zum Beispiel das IP-Forwarding komplett abschalten, das sollte doch die Sicherheit auch erhöhen oder nicht? Oder sollten die Proxies lieber hinter der Firewall auf dem Server laufen ? Gibts da Vor- oder Nachteile ?
Auf einer Firewall sollte es *nicht* moeglich sein, sich ueber das Netz auf irgendeine Art und Weise einloggen zu koennen.
Und wie administrierst Du sie dann?
Stimmt, ich denke SSH sollte ausreichend sicher sein um das einloggen über Port 22 zulassen zu können.
IMHO ist jeder Netzwerkdienst auf einer Firewall ein Risiko. Ich wuerde DNS daher auf den Server hinter der FW stellen.
Wenn er kein DNS nach außen anbieten muß, kann er ihn hinter Masquerading stellen. Ich finde es auch nicht schlecht, wie in der anderen Mail beschrieben einen Forward-only auf die Firewall zu stellen, der genau die ISP Server fragen darf, damit müssen die Packetfilter nur domain packets von drei Maschinen durchlassen.
Denke ich auch. -- MfG Waldemar Brodkorb Linux rulez! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com