M. Skiba schrieb:
Am Dienstag, 5. August 2008 07:57:33 schrieb Fred Ockert:
deine Frage macht nur dann Sinn, wenn du mehr erzählst! -wieviele Rechner hängen hinter dem Router ? Nur das Familiennetz mit 3 Rechnern
- welche Netzstruktur ? ( mit oder ohne DMZ) Ohne DMZ
-welche Dienste laufen auf den Maschinen dahinter Datenbank, gelegentlich Webserver, gelegentlich SSH.
na ja.. eigentlich gehören Webserver & Co in die DMZ..
-wozu brauchst du denn überhaupt die Firewall (hier ganz konkrete Antworten) Das ist die Frage die ich mir auch stelle, prinzipiell zum Schutz des PCs von
na ja... "Blechbüchse" lässt keinen rein und alles raus ..ist bei 99% aller (Heim)besitzer auch gut und richtig so
Außen. Auch gegen Netzintern Gefahren, da es ein gemischtes Ethernet/wlan Netz ist. (Wobei auf meinem Hauptrechner kein Wlan ist, nur auf dem Laptop)
- steht eher die Frage ( hat aber nix mit Firewall zu tun) ist das Wlan sicher? (Zugang)
- letztendlich .. was ist das für eine Blechbüchse ?... brauchst du etwas, was die nicht kann ? (im simpelsten Fall : ausführliches Loggen...) Ein NETGEAR-Router, geloggt werden können da nur aufgerufene Seiten, jedoch keine Potenziellen Angriffe. Aber ich schätze da kann man nichts machen.
Tjä ... tu (z.B.) OpenWRt drauf und du kannst Logging einstellen...
P.S.: Der einzige Nachteil den ich bei der Firewall festgestellt habe ist, das ich zwar die Ports beim Router-Forwarde, aber vergesse sie in der Feuerwand freizuschalten :D
wie freischalten ?? ... Portforward ist freischalten! oder wolltest du ssh Port pauschal für alle Rechner freischalten ? ( über NAT allgemein mag ich hier nicht reden...)
P.P.S.: Ein anderer angesprochener Punkt war das mit dem Daten raus gehen. Gibt es da eine Möglichkeit einzusehen, welche Programme alles Daten nach draußen senden? (Und gibt es ne Möglichkeit die über die OS Firewall zu blockieren?)
ordentlicher Router und loggen !... aber lass dir reichlich Plattenplatz! und nimm dir viiiiiel Auswertezeit! sicher kannst du blockieren... du kannst aber auch dabei ne Menge falsch machen in den Regeln (falsche Reihenfolge z.B. - die erste zutreffende Regel gilt..) und wenn ACCEPT versehentlich vor DROP oder REJECT in der Regelkette steht... tjä Du kannst deine Webservermaschine auch als BastionHost laufen lassen ... alle "Blechbüchsenports" 1:65353 einfach auf den BastionHost forwarden und dann dort weiterbehandeln...vergiss aber den Gedanken " ...mit wenigen Klicks machbar..."
Grüße Michael
Grüsse + FF Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org