Michael Hilscher wrote:
On Tue, Jun 17, 2003 at 11:36:12PM +0200, Martin Borchert wrote:
Am Dienstag, 17. Juni 2003 23:02 schrieb Michael Hilscher:
On Tue, Jun 17, 2003 at 10:19:38PM +0200, Martin Borchert wrote: Was ich bereits schrieb: es gibt keinen legitimen Grund einen Webserver zu scannen (ausser ich seinen eigenen). Warum sollte ich es einem Angreifer also vereinfachenn herauszufinden, dass er tatsächlich neben ssh, apache und evtl. pop/imap/smtp auch irgendwelche anderen Dienste von ausserhalb erreichen kann?
wodurch erschwerst du es denn?
Ich habe mehr Angst vor einem Hardwareausfall als vor einem Angriff. Der Paketfilter ist nur ein kleiner Teil meines Sicherheitskonzepts ich würde jedoch nicht auf ihn verzichten wollen.
Und genau warum nicht? Warum soll ich das eigentlich weiter ausführen? Habe ich meinen Standpunkt nicht schon dargelegt?
nein.
Geht Routing denn auch ohne iptables (ich meine auf einem Linux Router und keiner Hardware Box mit alternativem Betriebssystem)?
Warum sollte es nicht gehen? Ging ja auch bevor es iptables gab. Iptables ist ein Paketfilter. Das hat mit routing nichts zu tun. Was verstehst Du unter routing? route add default gw ... ??
ich vermute das selbe wie ich. das routen von paketen.
Ein router muss masquerading können,
nein.
sonst kann er Anfragen von verschiedenen Clients aus dem lan nicht weiter- und zurückleiten.
falsch.
Zumindest wüsste ich nicht wie es ohne entsprechende iptables (oder ipchains) Regeln gehen sollte.
das ist schade ... aber ok: unter routen versteht man das weiterleiten von paketen zwischen verschiedenen netzen. du sprichst von masquerading. das ist etwas völlig anderes.
Das ist nicht so richtig schlüssig... Fallen lassen (drop) macht das Netz kaputt. Es stört mehr als es nutzt. Das ordnungsgemäße rejecten erledigt der Kernel, dafür braucht man keinen Paketfilter. Jo, wenn ich alles rejecten würde könnte ich einen Portscan nicht erschweren.
du erschwerst den portscan gleich nochmal wodurch? du glaubst,'drop' erschwert einen portscan? ich vermute du glaubst auch, dass du stealth bist, oder?
Das einzige was man wirklich rejecten sollte sind Anfragen an Port 113 - die alte Unsitte vieler Clients hinter denen in der Regel auch keine böswillige Absicht steckt.
du legst nicht viel wert auf funktionierendes tcp/ip, oder? micha