Was zu dem Firewall-Workshop: -Das Blocken der von der IANA reservierten Blöcke ist nicht wirklich sinnvoll. -"Ohne DNS können Computer in einem anderen Netzwerk nicht kontaktiert werden." Nicht wirklich -DNS-Abfragen können auch vom eigenen Rechner von Port 53 abgehen
> -Das Blocken der von der IANA reservierten Blöcke ist nicht wirklich sinnvoll.
Da magst du recht haben. Ich habe auch noch nie davon gehört, daß man die blocken sollte. Das ist wohl eher für besonders Paranoide Mich würde interessieren, was der Autor dazu meint.
> -Ohne DNS... Naja, das ist ja eher Haarspalterei. Natürlich kannst du auch eine /etc/hosts pflegen. In der Tat wurde das 1990 an der Uni noch teilweise so gehandhabt. Aber wir schreiben 2001, nicht 1990...
>-DNS-Abfragen können auch vom eigenen Rechner von Port 53 abgehen Nur wenn im internen Netz ein DNS-Server läuft, der Anfragen nach draußen richtet. Oder irre ich mich da?
>> -Das Blocken der von der IANA reservierten Blöcke ist nicht wirklich sinnvoll.
Sollte eigentlich auch der Provider machen. Ich hab aber schon paar gesehen die es ähm vergessen haben. ;-) Also schaden tuts auf alle Fälle nicht.
> Da magst du recht haben. Ich habe auch noch nie davon gehört, daß man die blocken sollte. Das ist wohl eher für besonders Paranoide Mich würde interessieren, was der Autor dazu meint.
Private Adressen sollen im Internet nicht gerouted werden. Da die Regel aber nur festgelegt wurde und nicht im Stack fest einprogrammiert ist muß auch jeder selber dafür sorgen, das sie eingehalten werden. Und nebenbei, wenn jemand ein tunnel zu deinem *privatem* Netzwerk aufbaut nützt es dir auch nichts wenn dein Provider private IP`s blockt. ;-)
> Naja, das ist ja eher Haarspalterei. Natürlich kannst du auch eine /etc/hosts pflegen. In der Tat wurde das 1990 an der Uni noch teilweise so gehandhabt. Aber wir schreiben 2001, nicht 1990...
Seit wann braucht man DNS um Computer zu kontakten? Oder hab ich da jetzt was falsch verstanden?
Nur wenn im internen Netz ein DNS-Server läuft, der Anfragen nach draußen richtet. Oder irre ich mich da?
Ja, etwas.
Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server.
Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür. (eben Micros~1 ;-)
>> -Das Blocken der von der IANA reservierten Blöcke ist nicht wirklich sinnvoll.
>Sollte eigentlich auch der Provider machen. >Ich hab aber schon paar gesehen die es ähm vergessen haben. ;-) >Also schaden tuts auf alle Fälle nicht
Doch, da diese Blöcke vergeben werden können und dann stehen eine Menge Nutzer auf dem Schlauch.
>Und nebenbei,wenn jemand ein tunnel zu >deinem *privatem* Netzwerk aufbaut nützt es >dir auch nichts wenn dein Provider private >IP`s blockt. ;-)
Für einen Tunnel brauchst du einen Endpunkt.
>Seit wann braucht man DNS um Computer zu kontakten?
Das meinte ich
>Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server. >Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür. (eben Micros~1 ;-)
Das stimmt so allgemein nicht, Bind nutzt nur standardmässig einen unpriviligierten Port.
>Seit wann brauch ich auf der Gegenseite einen Service um IP Pakete tunneln zu können ???
Definiere erst mal was DU unter tunneln verstehst, nicht das dann wieder so was wie "Private IP Adressen" rauskommmt. Das Senden von Paketen mit deinem gewünschten Payload an eine Host ohne Gegenstelle ist *nicht* tunneln.
>Na is ja irre. >Wenn jetzt Karl Heinz in Kuba den Bind oder einen Client so abändert, das er nur von Port 21 resolved dann ist mein:
>"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
>halt auch falsch.
Das habe ich nie behauptet. Deine Anfangsaussage war falsch. Beweis mir das Gegenteil, aber laber nicht polemisch rum.
>Das würde ja ne tolle Firewallanleitung werden wo so klein gesch***en wird.
Es empfiehlt sich bei Sicherheitsaspekten kleinlich zu sein. Du musst das nicht so machen, aber posaune hier keinen Blödsinn herum.
Und bitte kürze meinen Gruss aus deinem Quoting, es sieht so aus als würde ich deinen Text unterschreiben und das will ich nicht.
Da mir die Möglichkeiten des Forums etwas zu beschränkt sind für eine umfangreicherer Diskussion setze ich jetzt einen Pseudo-fup2 auf d.c.s.f
>>Seit wann brauch ich auf der Gegenseite einen Service um IP Pakete tunneln zu können ???
>Definiere erst mal was DU unter tunneln verstehst, nicht das dann wieder so was wie "Private IP Adressen" rauskommmt.
IP in IPv4 Pakete Zu "Private IP Adressen" , missverständnisse soll es geben und "Private IP Adressen" sind ja immerhin auch "von der IANA reservierten Blöcke."
>Das Senden von Paketen mit deinem gewünschten Payload an eine Host ohne Gegenstelle ist *nicht* tunneln.
sondern tanneln? ;-) Nein ernsthaft, schade das du nicht gleich schreibst was es dann ist. Wäre vielleicht effizienter.
>Na is ja irre. >Wenn jetzt Karl Heinz in Kuba den Bind oder einen Client so abändert, das er nur von Port 21 resolved dann ist mein:
>"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
>halt auch falsch.
Das habe ich nie behauptet. Deine Anfangsaussage war falsch. Beweis mir das Gegenteil, aber laber nicht polemisch rum.
Wenn man sich an:
"Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server."
kein "standardmässig" denken kann, kann man sich logischerweise an mein:
"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
auch kein "standardmässig" ranhängen und demnach muß auch diese Aussage falsch sein. Außer du wärst inkonsequent und würdes es beim letzten tollerieren.
>Es empfiehlt sich bei Sicherheitsaspekten kleinlich zu sein. >Du musst das nicht so machen, aber posaune hier keinen Blödsinn herum.
Weiß nicht was *diese* kleinlichkeit mit Sicherheitsaspekten zu tun hat. Oder wird ein Netz neuerdings sicherer wenn man in einem allgemeinem Posting plötzlich auf ausnahmen beharrt? Und im allgemeinen benutzt nunmal der NT DNS Port 53 und Bind&Co unpr. Ports. Auch wenn ich alles bis ins Nirvana umkonfigurieren kann.
>>Definiere erst mal was DU unter tunneln verstehst, nicht das dann wieder so was wie "Private IP Adressen" rauskommmt.
>IP in IPv4 Pakete
Ja, und? Zeig mir das mal ohne Gegenstelle.
>Wenn man sich an:
>"Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server."
>kein "standardmässig" denken kann, kann man sich logischerweise an mein:
>"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
>auch kein "standardmässig" ranhängen und demnach muß auch diese Aussage falsch sein. >Außer du wärst inkonsequent und würdes es beim letzten tollerieren.
Bein, ich bin nicht inkonsequent. Deine erste Aussage war komplett falsch, die Zweite teilweise richtig und auch nicht so definitiv.
>Weiß nicht was *diese* kleinlichkeit mit Sicherheitsaspekten zu tun hat.
Es ist egal welche Kleinigkeit dein Netz unsicher machen
>Und im allgemeinen benutzt nunmal der NT DNS Port 53 und Bind&Co unpr. Ports. >Auch wenn ich alles bis ins Nirvana umkonfigurieren kann.
Das ist eine Zeile, die auch noch in der Anfangskonfiguration von Debian auskommentiert dabei ist.
cu Jonny btw. Könnten wir das per Mail fortführen, ich hasse es hier quoten zu müssen. Danke,
>Naja, das ist ja eher Haarspalterei. >Natürlich kannst du auch eine /etc/hosts >pflegen. In der Tat wurde das 1990 an der >Uni noch teilweise so gehandhabt. Aber wir >schreiben 2001, nicht 1990...
Lese dir noch mal durch was ich geschrieben habe und was er geschrieben hat. Seines ist *falsch*
>Nur wenn im internen Netz ein DNS-Server >läuft, der Anfragen nach draußen richtet. >Oder irre ich mich da?
Ich weiss nicht ob es resolver gibt die man so konfigurieren kann, ich nehme es aber an
dann wollen wir alle mal wieder zurück in die Höhlen und die Keulen herausholen, oder wie soll ich das verstehen? Warum bist Du der meinung, daß man immer wieder das Rad neu erfinden muß? Das ist doch die schlechteste einstellung für eine entwicklung, die man nur habe kann.
Nun, es soll nicht heißen, daß man alles vorgebetet bekommen soll. Man sollte schon verstehen, was welche Zeile bedeutet/bewirkt.
Nur dein Vorurteil, was leider häufig auch im Zusammenhang mit GuiŽs/Tools für Konfigurationsdateien hervorgegraben wird, ist absolut lächerlich. Das eine (verstehen, was abläuft) hat mit dem anderen (einfaches einstellen von systemparametern) absolut nichts zu tun. Das ist durch eine gute dokumentation der "Frontends" zu vermeiden.
>dann wollen wir alle mal wieder zurück in >die Höhlen und die Keulen herausholen, oder >wie soll ich das verstehen? >Warum bist Du der meinung, daß man immer >wieder das Rad neu erfinden muß? Das ist >doch die schlechteste einstellung für eine >entwicklung, die man nur habe kann.
Wo habe ich so etwas gesagt?
>Man sollte schon verstehen, was welche Zeile >bedeutet/bewirkt.
Tja, womit wir wieder bei meiner Kritik wären
cu Jonny Btw.: wie kann man hier *anstängig* qouten?
so, ihr seid ja schon fleissig am posten hier ... so ist das, wenn man 6 stunden hinter der MEZ lebt :)
zu den ganzen beitraegen hier nur kurz ein statement:
Wie bereits richtig erkannt wurde kommt viel Material meines Beitrags aus dem Firewall Buch von Robin Ziegler. Sieht man auch ganz deutlich an meinen Fussnoten.
IANA Adressen: Sind bei mir wegen der ganzen Spoofing Geschichte drinnen. Von einem Blocken auf Providerseite habe ich nie etwas gehoert. Vielleicht wirklich fuer Paranoide, aber die paar Zeilen tun doch nicht weh ...
DNS: Hier bin ich etwas verwirrt. In meinem Beispiel gehe ich von einem kleinen Lan aus, das die Adresszuordnung per hosts datei erledigt. Dies wuerde ich auch heute noch bei Netzen mit maximal 10 Rechnern so machen. Natuerlich saehen die Regeln bei einem internen DNS anders aus. Hier bei mir gibts nur den DNS des Providers, zum surfen eben ...
interne Pakete auf Port 53 gibts bei mir nicht und ich habe kein NT und kenne mich damit auch nicht aus. wer mit mehr zu diesen Paketen erzaehlen kann/will mailt mir bitte, freue mich ueber jede info.
ansonten danke ich euch fuer eure beitrage, scheint ganz so, als ob das zeug wirlich gelesen wird ;)
die tun dann weh wenn sie vergeben werden. Wo soll ausserdem der Nutzen sein? Jemand, der wirklich gefährlich werden könnt spooft keine unvergebenen Adressen
>ansonten danke ich euch fuer eure beitrage, scheint ganz so, als ob das zeug wirlich gelesen wird ;)
Danke das du dir die Mühe gegeben hast es zu schreiben
Von Olaf Schröder am Mo, 8. Januar 2001 um 19:41 #
hallo, da ich eine firewall nur für das internet brauche und ich mich mit der materie wenig auskenn habe ich eine frage reicht es firestarter zu benutzen die ports damit zu schliessen oder ist das ein eher ein schlechter schutz?
-Das Blocken der von der IANA reservierten Blöcke ist nicht wirklich sinnvoll.
-"Ohne DNS können Computer in einem anderen Netzwerk nicht kontaktiert werden." Nicht wirklich
-DNS-Abfragen können auch vom eigenen Rechner von Port 53 abgehen
cu
Jonny
Da magst du recht haben. Ich habe auch noch nie davon gehört, daß man die blocken sollte. Das ist wohl eher für besonders Paranoide
Mich würde interessieren, was der Autor dazu meint.
> -Ohne DNS...
Naja, das ist ja eher Haarspalterei. Natürlich kannst du auch eine /etc/hosts pflegen. In der Tat wurde das 1990 an der Uni noch teilweise so gehandhabt. Aber wir schreiben 2001, nicht 1990...
>-DNS-Abfragen können auch vom eigenen Rechner von Port 53 abgehen
Nur wenn im internen Netz ein DNS-Server läuft, der Anfragen nach draußen richtet. Oder irre ich mich da?
Sollte eigentlich auch der Provider machen.
Ich hab aber schon paar gesehen die es ähm vergessen haben. ;-)
Also schaden tuts auf alle Fälle nicht.
> Da magst du recht haben. Ich habe auch noch nie davon gehört, daß man die blocken sollte. Das ist wohl eher für besonders Paranoide
Mich würde interessieren, was der Autor dazu meint.
Private Adressen sollen im Internet nicht gerouted werden.
Da die Regel aber nur festgelegt wurde und nicht im Stack fest einprogrammiert ist muß auch jeder selber dafür sorgen, das sie eingehalten werden.
Und nebenbei,
wenn jemand ein tunnel zu deinem *privatem* Netzwerk aufbaut nützt es dir auch nichts wenn dein Provider private IP`s blockt. ;-)
> Naja, das ist ja eher Haarspalterei. Natürlich kannst du auch eine /etc/hosts pflegen. In der Tat wurde das 1990 an der Uni noch teilweise so gehandhabt. Aber wir schreiben 2001, nicht 1990...
Seit wann braucht man DNS um Computer zu kontakten?
Oder hab ich da jetzt was falsch verstanden?
Nur wenn im internen Netz ein DNS-Server läuft, der Anfragen nach draußen richtet. Oder irre ich mich da?
Ja, etwas.
Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server.
Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür. (eben Micros~1 ;-)
>Sollte eigentlich auch der Provider machen. >Ich hab aber schon paar gesehen die es ähm vergessen haben. ;-)
>Also schaden tuts auf alle Fälle nicht
Doch, da diese Blöcke vergeben werden können und dann stehen eine Menge Nutzer auf dem Schlauch.
>Und nebenbei,wenn jemand ein tunnel zu >deinem *privatem* Netzwerk aufbaut nützt es >dir auch nichts wenn dein Provider private
>IP`s blockt. ;-)
Für einen Tunnel brauchst du einen Endpunkt.
>Seit wann braucht man DNS um Computer zu kontakten?
Das meinte ich
>Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server.
>Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür. (eben Micros~1 ;-)
Das stimmt so allgemein nicht, Bind nutzt nur standardmässig einen unpriviligierten Port.
cu
Jonny
>Doch, da diese Blöcke vergeben werden können und dann stehen eine Menge Nutzer auf dem Schlauch.
Wie,was?
Private IP Adressen können offiziel vergeben werden?
>Für einen Tunnel brauchst du einen Endpunkt.
Und der Endpunkt wäre wohl der Zielrechner oder was meinst du mit Endpunkt?
>Das stimmt so allgemein nicht, Bind nutzt nur standardmässig einen unpriviligierten Port.
Und was schrieb ich?
Das Bind es in *jeder* konfiguration tut???
Logisch standardmäßig!
cu
Jonny
mfg
Raver
Ich sprach nicht von den "privaten" Adressen.
ipchains -A input -i $EXTERNAL_INTERFACE -s 1.0.0.0/8 -j DENY -l
ipchains -A input -i $EXTERNAL_INTERFACE -s 2.0.0.0/8 -j DENY -l
ipchains -A input -i $EXTERNAL_INTERFACE -s 5.0.0.0/8 -j DENY -l
ipchains -A input -i $EXTERNAL_INTERFACE -s 7.0.0.0/8 -j DENY -l
usw.
Die meine ich.
>Und der Endpunkt wäre wohl der Zielrechner oder was meinst du mit Endpunkt?
Bildlich: Du schaffst mit deinem Programm, nehmen wir mal ssh einen Tunneleingang. sshd wäre der Tunnelausgang
>Und was schrieb ich?
"Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server."
^^^^^
Naja, das stimmt halt nicht.
cu
Jonny
cu
Jonny
>Bildlich: Du schaffst mit deinem Programm, nehmen wir mal ssh einen Tunneleingang.
>sshd wäre der Tunnelausgang
Seit wann brauch ich auf der Gegenseite einen Service um IP Pakete tunneln zu können ???
>"Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server."
>^^^^^
>Naja, das stimmt halt nicht.
Na is ja irre.
Wenn jetzt Karl Heinz in Kuba den Bind oder einen Client so abändert, das er nur von Port 21 resolved dann ist mein:
"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
halt auch falsch.
Ich denk mal da kann man eigentlich mit sicherheit nur sagen:
"Das DNS Abfragen *von* Ports kommen gilt *nur* für DNS."
Na da werden uns geholfen.
Das würde ja ne tolle Firewallanleitung werden wo so klein gesch***en wird.
cu
Jonny
mfg
Raver
Definiere erst mal was DU unter tunneln verstehst, nicht das dann wieder so was wie "Private IP Adressen" rauskommmt. Das Senden von Paketen mit deinem gewünschten Payload an eine Host ohne Gegenstelle ist *nicht* tunneln.
>Na is ja irre.
>Wenn jetzt Karl Heinz in Kuba den Bind oder einen Client so abändert, das er nur von Port 21 resolved dann ist mein:
>"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
>halt auch falsch.
Das habe ich nie behauptet. Deine Anfangsaussage war falsch. Beweis mir das Gegenteil, aber laber nicht polemisch rum.
>Das würde ja ne tolle Firewallanleitung werden wo so klein gesch***en wird.
Es empfiehlt sich bei Sicherheitsaspekten kleinlich zu sein. Du musst das nicht so machen, aber posaune hier keinen Blödsinn herum.
Und bitte kürze meinen Gruss aus deinem Quoting, es sieht so aus als würde ich deinen Text unterschreiben und das will ich nicht.
Da mir die Möglichkeiten des Forums etwas zu beschränkt sind für eine umfangreicherer Diskussion setze ich jetzt einen Pseudo-fup2 auf d.c.s.f
cu
Jonny
>Definiere erst mal was DU unter tunneln verstehst, nicht das dann wieder so was wie "Private IP Adressen" rauskommmt.
IP in IPv4 Pakete
Zu "Private IP Adressen" , missverständnisse soll es geben und "Private IP Adressen" sind ja immerhin auch "von der IANA reservierten Blöcke."
>Das Senden von Paketen mit deinem gewünschten Payload an eine Host ohne Gegenstelle ist *nicht* tunneln.
sondern tanneln? ;-)
Nein ernsthaft, schade das du nicht gleich schreibst was es dann ist.
Wäre vielleicht effizienter.
>Na is ja irre.
>Wenn jetzt Karl Heinz in Kuba den Bind oder einen Client so abändert, das er nur von Port 21 resolved dann ist mein:
>"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
>halt auch falsch.
Das habe ich nie behauptet. Deine Anfangsaussage war falsch. Beweis mir das Gegenteil, aber laber nicht polemisch rum.
Wenn man sich an:
"Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server."
kein "standardmässig" denken kann, kann man sich logischerweise an mein:
"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
auch kein "standardmässig" ranhängen und demnach muß auch diese Aussage falsch sein.
Außer du wärst inkonsequent und würdes es beim letzten tollerieren.
>Es empfiehlt sich bei Sicherheitsaspekten kleinlich zu sein.
>Du musst das nicht so machen, aber posaune hier keinen Blödsinn herum.
Weiß nicht was *diese* kleinlichkeit mit Sicherheitsaspekten zu tun hat.
Oder wird ein Netz neuerdings sicherer wenn man in einem allgemeinem Posting plötzlich auf ausnahmen beharrt?
Und im allgemeinen benutzt nunmal der NT DNS Port 53 und Bind&Co unpr. Ports.
Auch wenn ich alles bis ins Nirvana umkonfigurieren kann.
mfg
Raver
>IP in IPv4 Pakete
Ja, und? Zeig mir das mal ohne Gegenstelle.
>Wenn man sich an:
>"Das DNS Abfragen *von* Port 53 kommen gilt *nur* für einen WindowsNT DNS Server."
>kein "standardmässig" denken kann, kann man sich logischerweise an mein:
>"Ein normaler Client und der Bind benutzten die unprivilegierten Ports dafür."
>auch kein "standardmässig" ranhängen und demnach muß auch diese Aussage falsch sein.
>Außer du wärst inkonsequent und würdes es beim letzten tollerieren.
Bein, ich bin nicht inkonsequent. Deine erste Aussage war komplett falsch, die Zweite teilweise richtig und auch nicht so definitiv.
>Weiß nicht was *diese* kleinlichkeit mit Sicherheitsaspekten zu tun hat.
Es ist egal welche Kleinigkeit dein Netz unsicher machen
>Und im allgemeinen benutzt nunmal der NT DNS Port 53 und Bind&Co unpr. Ports.
>Auch wenn ich alles bis ins Nirvana umkonfigurieren kann.
Das ist eine Zeile, die auch noch in der Anfangskonfiguration von Debian auskommentiert dabei ist.
cu
Jonny
btw. Könnten wir das per Mail fortführen, ich hasse es hier quoten zu müssen. Danke,
>Uni noch teilweise so gehandhabt. Aber wir >schreiben 2001, nicht 1990...
Lese dir noch mal durch was ich geschrieben habe und was er geschrieben hat. Seines ist *falsch*
>Nur wenn im internen Netz ein DNS-Server >läuft, der Anfragen nach draußen richtet. >Oder irre ich mich da?
Ich weiss nicht ob es resolver gibt die man so konfigurieren kann, ich nehme es aber an
Vorgegebene Skripte sind halt nix
cu
Jonny
dann wollen wir alle mal wieder zurück in die Höhlen und die Keulen herausholen, oder wie soll ich das verstehen? Warum bist Du der meinung, daß man immer wieder das Rad neu erfinden muß? Das ist doch die schlechteste einstellung für eine entwicklung, die man nur habe kann.
Nun, es soll nicht heißen, daß man alles vorgebetet bekommen soll. Man sollte schon verstehen, was welche Zeile bedeutet/bewirkt.
Nur dein Vorurteil, was leider häufig auch im Zusammenhang mit GuiŽs/Tools für Konfigurationsdateien hervorgegraben wird, ist absolut lächerlich. Das eine (verstehen, was abläuft) hat mit dem anderen (einfaches einstellen von systemparametern) absolut nichts zu tun. Das ist durch eine gute dokumentation der "Frontends" zu vermeiden.
Das nur kurz zur anmerkung.
gruß guenny
>Warum bist Du der meinung, daß man immer >wieder das Rad neu erfinden muß? Das ist >doch die schlechteste einstellung für eine >entwicklung, die man nur habe kann.
Wo habe ich so etwas gesagt?
>Man sollte schon verstehen, was welche Zeile
>bedeutet/bewirkt.
Tja, womit wir wieder bei meiner Kritik wären
cu
Jonny
Btw.: wie kann man hier *anstängig* qouten?
Was?
cu
Jonny
zu den ganzen beitraegen hier nur kurz ein statement:
Wie bereits richtig erkannt wurde kommt viel Material meines Beitrags aus dem Firewall Buch von Robin Ziegler. Sieht man auch ganz deutlich an meinen Fussnoten.
IANA Adressen: Sind bei mir wegen der ganzen Spoofing Geschichte drinnen. Von einem Blocken auf Providerseite habe ich nie etwas gehoert. Vielleicht wirklich fuer Paranoide, aber die paar Zeilen tun doch nicht weh ...
DNS: Hier bin ich etwas verwirrt. In meinem Beispiel gehe ich von einem kleinen Lan aus, das die Adresszuordnung per hosts datei
erledigt. Dies wuerde ich auch heute noch bei Netzen mit maximal 10 Rechnern so machen. Natuerlich saehen die Regeln bei einem internen DNS anders aus. Hier bei mir gibts nur den DNS des Providers, zum surfen
eben ...
interne Pakete auf Port 53 gibts bei mir nicht und ich habe kein NT und kenne mich damit auch nicht aus. wer mit mehr zu diesen Paketen erzaehlen kann/will mailt mir bitte, freue mich ueber jede info.
ansonten danke ich euch fuer eure beitrage, scheint ganz so, als ob das zeug wirlich gelesen wird ;)
cu,
felix m.
die tun dann weh wenn sie vergeben werden. Wo soll ausserdem der Nutzen sein? Jemand, der wirklich gefährlich werden könnt spooft keine unvergebenen Adressen
>ansonten danke ich euch fuer eure beitrage, scheint ganz so, als ob das zeug wirlich gelesen wird ;)
Danke das du dir die Mühe gegeben hast es zu schreiben
cu
Jonny
da ich eine firewall nur für das internet brauche und ich mich mit der materie wenig auskenn habe ich eine frage reicht es firestarter zu benutzen die ports damit zu schliessen oder ist das ein eher ein schlechter schutz?