Verständnissfrage: Firewall
Hallo, ich lese mir gerade die Kernel-docs zum Masquerading durch. Dabei ist folgende Frage aufgkommen: Ist die Firewall lediglich ein Konfigurationsscript für iptables? Gruss Karl
Karl Sinn wrote:
Hallo,
ich lese mir gerade die Kernel-docs zum Masquerading durch. Dabei ist folgende Frage aufgkommen:
Ist die Firewall lediglich ein Konfigurationsscript für iptables?
Wenn du die Suse-Firewall2 meinst: ja. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo, Am Mittwoch 16 August 2006 20:39 schrieb Sandy Drobic:
Ist die Firewall lediglich ein Konfigurationsscript für iptables?
Wenn du die Suse-Firewall2 meinst: ja.
Dann bedeutet die Nutzung der SuSE-Firewall2 keinen Performanceverlust des Rechners? Das war der Grund warum ich bisher die Firewall nicht benutzt habe. Mein Rechner ist schon etwas betagt, und ich will keine zusätzliche den Rechner verlangsamende Software einsetzen. Gruss Karl
Karl Sinn wrote:
Hallo,
Am Mittwoch 16 August 2006 20:39 schrieb Sandy Drobic:
Ist die Firewall lediglich ein Konfigurationsscript für iptables? Wenn du die Suse-Firewall2 meinst: ja.
Dann bedeutet die Nutzung der SuSE-Firewall2 keinen Performanceverlust des Rechners? Das war der Grund warum ich bisher die Firewall nicht benutzt habe. Mein Rechner ist schon etwas betagt, und ich will keine zusätzliche den Rechner verlangsamende Software einsetzen.
Der Performanceverlust ist praktisch kaum messbar in den meisten Fällen, solange du keine wilden Spiele treibst bei den Iptables-Scripten. Auf der anderen Seite ist der Nutzen auch recht begrenzt, wenn du ohnehin schon den Rechner schön dicht machst, alle unnötigen Dienste abschaltest, nicht als root im Internet surfst und nicht jedes Script, was dir ein fürsorglicher Mensch schickt, sofort ausprobierst. Eine echte Steigerung der Sicherheit bekommst du erst, wenn du auch den ausgehenden Netzverkehr nur über definierte Ports/Proxies zulässt. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo, Am Mit, 16 Aug 2006, Sandy Drobic schrieb:
Karl Sinn wrote:
Am Mittwoch 16 August 2006 20:39 schrieb Sandy Drobic:
Ist die Firewall lediglich ein Konfigurationsscript für iptables? Wenn du die Suse-Firewall2 meinst: ja. [..] Das war der Grund warum ich bisher die Firewall nicht benutzt habe. Mein Rechner ist schon etwas betagt, und ich will keine zusätzliche den Rechner verlangsamende Software einsetzen.
Was heisst "etwas betagt"? Nen i386er?
Der Performanceverlust ist praktisch kaum messbar in den meisten Fällen, solange du keine wilden Spiele treibst bei den Iptables-Scripten.
Aehm, kennst du einen Fall, bei dem er messbar ist? Wenn, sagen wir mal, keine (zehn-)tausende Regeln verwendet werden, und das auf nem i486er, 20 MHz, mit 8 MB RAM der ne gesättigte >= 100 MBit/s Leitung filtert? Ok, wenn man sich doof anstellt und die Regeln so gesetzt werden, dass die haeufigsten Faelle, die "Ausstiegspunkte" aus der Regelkette ganz am Ende liegen, d.h. wenn jedesmal fast alle Regeln durchlaufen werden müssen, dann könnte man wohl o.g. Rechner merkbar belasten. Denke ich mal. -dnh -- "If we don't answer the phone they won't know we're not here" -- Tanuki
David Haller wrote:
Hallo,
Am Mit, 16 Aug 2006, Sandy Drobic schrieb:
Karl Sinn wrote:
Am Mittwoch 16 August 2006 20:39 schrieb Sandy Drobic:
Ist die Firewall lediglich ein Konfigurationsscript für iptables? Wenn du die Suse-Firewall2 meinst: ja. [..] Das war der Grund warum ich bisher die Firewall nicht benutzt habe. Mein Rechner ist schon etwas betagt, und ich will keine zusätzliche den Rechner verlangsamende Software einsetzen.
Was heisst "etwas betagt"? Nen i386er?
Der Performanceverlust ist praktisch kaum messbar in den meisten Fällen, solange du keine wilden Spiele treibst bei den Iptables-Scripten.
Aehm, kennst du einen Fall, bei dem er messbar ist? Wenn, sagen wir mal, keine (zehn-)tausende Regeln verwendet werden, und das auf nem i486er, 20 MHz, mit 8 MB RAM der ne gesättigte >= 100 MBit/s Leitung filtert?
Ok, wenn man sich doof anstellt und die Regeln so gesetzt werden, dass die haeufigsten Faelle, die "Ausstiegspunkte" aus der Regelkette ganz am Ende liegen, d.h. wenn jedesmal fast alle Regeln durchlaufen werden müssen, dann könnte man wohl o.g. Rechner merkbar belasten. Denke ich mal.
Mehrere Gigabit-Netzwerkkarten + Traffic-Shaping + Accounting + Logging Das wirst du schon messen können. (^-^) Aber alles andere, insbesondere mit 100MBit sollte wirklich keine Belastung sein. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Am Mittwoch, 16. August 2006 20:39 schrieb Sandy Drobic:
Karl Sinn wrote:
Hallo,
ich lese mir gerade die Kernel-docs zum Masquerading durch. Dabei ist folgende Frage aufgkommen:
Ist die Firewall lediglich ein Konfigurationsscript für iptables?
Wenn du die Suse-Firewall2 meinst: ja.
Sandy Hallo, ich darf mich da nochmal dranhängen, da ich die Frage gerade schon mal gestellt habe und die Antwort nicht gerade erschöpfend war. Im Prinzip hieß es da: ist eh zu schwierig, also lass' es und nimm ein fertiges Tool. Unbefriedigend! Aber irgendwo haben die Cracks sich das ja auch angelesen und die paar Regeln, die man wirklich braucht, sind dann ein 20-Zeiler in einem Startskript im rc-irgendwas. Das ist besser zu überschauen als die SuSEfirewall2. Nochmal: wo kann man sowas auf verständlichem Niveau für Einsteiger (!) nachlesen? HTTP, FTP aktiv, passiv aufmachen, auf eine oder zwei Adressen beschränken, nur zulassen von innen von Rechner A und B, bisschen tcp/udp für die Mulis, ssh rein und raus, nix ping, was braucht man noch? Brauchbare Tipps?
Danke Bend Kloss
Hallo, Am Mittwoch 16 August 2006 21:50 schrieb Bernd.Kloss:
SuSEfirewall2. Nochmal: wo kann man sowas auf verständlichem Niveau für Einsteiger (!) nachlesen? HTTP, FTP aktiv, passiv aufmachen, auf eine oder zwei Adressen beschränken, nur zulassen von innen von Rechner A und B, bisschen tcp/udp für die Mulis, ssh rein und raus, nix ping, was braucht man noch? Brauchbare Tipps?
Hast Du mal bei www.linux.org in den HOWTO's geschaut? Da steht das bestimmt alles beschrieben. Oder" man iptables", oder auf der iptables Homepage? Gruss Karl
Bernd.Kloss wrote:
Am Mittwoch, 16. August 2006 20:39 schrieb Sandy Drobic:
Karl Sinn wrote:
Hallo,
ich lese mir gerade die Kernel-docs zum Masquerading durch. Dabei ist folgende Frage aufgkommen:
Ist die Firewall lediglich ein Konfigurationsscript für iptables? Wenn du die Suse-Firewall2 meinst: ja.
Sandy Hallo, ich darf mich da nochmal dranhängen, da ich die Frage gerade schon mal gestellt habe und die Antwort nicht gerade erschöpfend war. Im Prinzip hieß es da: ist eh zu schwierig, also lass' es und nimm ein fertiges Tool. Unbefriedigend! Aber irgendwo haben die Cracks sich das ja auch angelesen und die paar Regeln, die man wirklich braucht, sind dann ein 20-Zeiler in einem Startskript im rc-irgendwas. Das ist besser zu überschauen als die SuSEfirewall2. Nochmal: wo kann man sowas auf verständlichem Niveau für Einsteiger (!) nachlesen? HTTP, FTP aktiv, passiv aufmachen, auf eine oder zwei Adressen beschränken, nur zulassen von innen von Rechner A und B, bisschen tcp/udp für die Mulis, ssh rein und raus, nix ping, was braucht man noch? Brauchbare Tipps?
Du wirst da keine erschöpfende Antwort finden, den die notwendigen Regeln sind von Anwendung zu Anwendung verschieden. Wenn die Aufgabenstellung ist, NAT zum Funktionieren zu bringen, damit die Rechner hinter dem Router ins Internet können ist das kein Problem. Wenn du aber die Einstellungen auf optimale Sicherheit trimmen willst, dann kommst du nicht drumherum, dich etliche Wochen mit der Materie zu beschäftigen. Das fängt an mit dem TCP/IP-Grundwissen und geht dann in die Anwendungsprotokolle wie SMTP, FTP, HTTP, DHCP etc. bis zu den Routingprotokollen und IPSec/VPN. Die Susefirewall etwa nimmt einige sinnvolle Voreinstellungen für TCP/IP vor, die du dann in deinem Firewall-Script alle selbst definieren musst. Auch das Logging stellt Suse schon ein. Bei den Anwendungen gibt es einfache Fälle wie HTTP und SMTP, wo es reicht, einen einzigen TCP-Port weiterzuleiten und etwas üblere Fälle wie FTP, wo mehrere Ports geöffnet sein müssen. Ob das dann funktioniert, ist auch eine Frage, wie die grundlegenden Policies definiert wurden. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo. * Mittwoch, 16. August 2006 um 21:50 (+0200) schrieb Bernd.Kloss:
Aber irgendwo haben die Cracks sich das ja auch angelesen und die paar Regeln, die man wirklich braucht, sind dann ein 20-Zeiler in einem Startskript im rc-irgendwas. Das ist besser zu überschauen als die SuSEfirewall2. Nochmal: wo kann man sowas auf verständlichem Niveau für Einsteiger (!) nachlesen?
Auf "http://www.netfilter.org/documentation/" findest du umfassende Dokumentation zum Thema. Am meisten hat mir persönlich das "Iptables Tutorial" von Oskar Andreasson geholfen. Gruß Andreas -- XMMS spielt gerade nichts... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Hallo, Am Mit, 16 Aug 2006, Bernd.Kloss schrieb:
die Mulis, ssh rein und raus, nix ping, ^^^^^^^^ das wäre dämlich
-dnh --
Do not meddle in the affairs of wizards, for they are subtle and quick to anger. Do not meddle in the affairs of sysadmins, for they are quick to anger and have no need for subtlety.
Am Mittwoch, 16. August 2006 23:48 schrieb David Haller:
Hallo,
Am Mit, 16 Aug 2006, Bernd.Kloss schrieb:
die Mulis, ssh rein und raus, nix ping,
^^^^^^^^ das wäre dämlich
-dnh Auch, wenn man das mit einem key absichert? Nur ein User kann sich einloggen und der muss noch den richtigen id_rsa haben, der auch noch mit Passwort gesichert ist. Ich dachte, das wäre sicher.
Gruß Bernd Kloss
Hallo, Am Don, 17 Aug 2006, Bernd.Kloss schrieb:
Am Mittwoch, 16. August 2006 23:48 schrieb David Haller:
Am Mit, 16 Aug 2006, Bernd.Kloss schrieb:
die Mulis, ssh rein und raus, nix ping, ^^^^^^^^ das wäre dämlich
-dnh Auch, wenn man das mit einem key absichert? Nur ein User kann sich einloggen und der muss noch den richtigen id_rsa haben, der auch noch mit Passwort gesichert ist. Ich dachte, das wäre sicher.
Ich habe nur das "nix ping" unterstrichen. -dnh -- 98: Emacs emacs makes any computer slow
-----Ursprüngliche Nachricht----- Von: bernd.kloss@web.de [mailto:bernd.kloss@web.de] Gesendet: Mittwoch, 16. August 2006 21:50 An: suse-linux@suse.com Betreff: Re: Verständnissfrage: Firewall
Am Mittwoch, 16. August 2006 20:39 schrieb Sandy Drobic:
Karl Sinn wrote:
Hallo,
ich lese mir gerade die Kernel-docs zum Masquerading durch. Dabei ist folgende Frage aufgkommen:
Ist die Firewall lediglich ein Konfigurationsscript für iptables?
Wenn du die Suse-Firewall2 meinst: ja.
Sandy Hallo, ich darf mich da nochmal dranhängen, da ich die Frage gerade schon mal gestellt habe und die Antwort nicht gerade erschöpfend war. Im Prinzip hieß es da: ist eh zu schwierig, also lass' es und nimm ein fertiges Tool. Unbefriedigend!
Meine Aussage sollte eher lauten, nimm ein Tool und bau die Regelen damit du dir da keine Löcher im Tagesbetrieb reist. Danach schau dir die Scripte an und analysiere sie auf einem Testsystem. ich bin dem Thema nicht mehr gant auf dem STand aber von Suse gab es mal ein Firewallbuch das dann auch als PDF auf diversen CDs in Zeitungen dabei war. Ausserdem hat Oreilly Bücher im Sortiment. http://www.oreilly.de/german/freebooks/linuxfire2ger/toc.html http://www.amazon.de/gp/product/customer-reviews/0735710996 http://www.pro-linux.de/work/firewall/fire1.html
participants (6)
-
Andreas Koenecke -
Bernd.Kloss -
David Haller -
Karl Sinn -
ralf.prengel@comline.de -
Sandy Drobic