* Waldemar Brodkorb wrote on Sat, Apr 01, 2000 at 12:00 +0200:
Am Fre, 31 Mär 2000 schrieb Steffen Dettmer:
* Marc Schiffbauer wrote on Fri, Mar 31, 2000 at 09:24 +0200:
Wenns sicher sein soll, wuerde ich eine Firewall immer nur *einzig* und *allein* Firewall sein.
Apropos Proxies, wenn ich auf der Firewall Proxies laufen lasse kann ich zum Beispiel das IP-Forwarding komplett abschalten, das sollte doch die Sicherheit auch erhöhen oder nicht?
Yepp, dann sind die Netze auf Netzwerklayer getrennt. Das gilt dann als sehr sicher, solange den Proxies vertraut wird (sendmail ist zwar technisch gesehen auch als Proxy verwendbar, davon würde ich aber dringend abraten :) ). Braucht man einzelne Dinge dann doch, kann man die "relayen", d.h. einen Proxy nehmen, der die Daten ungesehen durchreicht (z.B. rinetd), falls man für eine Sache keinen passenden Proxy hat. Das hat dann den Vorteil, daß auch eingeschleuste Trojaner nicht mehr so richtig funktionieren.
Oder sollten die Proxies lieber hinter der Firewall auf dem Server laufen ?
Na, verstehe die Frage nicht... Also, Firewall ist ein Oberbegriff für Proxies (mit den entsprechenden Eigenschaften: klein, stabil, filtern bestimmter Daten, robust programmiert; cache usw. gehört eben nicht dazu) und Packetfiltern. Gut gehen auch Packetfilter (in den Routern), dann einen Server, der nicht routet, aber Proxies hat, und der nächste Router macht wieder Packetfilterungen (z.B. Cisco ACLs usw.).
Und wie administrierst Du sie dann?
Stimmt, ich denke SSH sollte ausreichend sicher sein um das einloggen über Port 22 zulassen zu können.
Genau, und alle Packetfilter akzeptieren nur Packete für firewall port 22, wenn sie von einer der Admin Kisten kommen (die müssen natürlich auch gewisse Sicherheitsvorraussetzungen erfüllen). oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com