Damit beantwortest Du Dir die Frage, warum eine PFW eine "schlechte" Strategie ist, die in falscher Sicherheit wiegt, selbst:elfrico wrote:Es gibt Leute, die auf bestimmte Dienste des Server zugreifen dürfen. (ja, die ganze Welt darf HTTP nutzen). Das muss natürlich gestattet werden.
Aber was interssiert es mich, wenn jemand z.B. auf Port 4711 ein Paket schickt? Da gibt es nämlich keinen Service, den ich anbiete. Daraus folgt, dass ich auch nicht anworten muss (natürlich kann ich, aber will nicht).
Die Frage REJECT oder DROP ist also fast schon 'ne philosophische Frage.
Wenn es keinen Dienst gibt, der antworten kann, warum dann einen Filter davor? Und wo es einen Dienst gibt, läßt Dein Filter ja auch durch.
Wenn es keine Tür gibt, warum einen Türsteher? Wenn es die Tür gibt, der Türsteher aber jeden reinläßt, warum dann ein Türsteher?
Zur Erinnerung:
Und nochmal: http://www.iks-jena.de/mitarb/lutz/usen ... VersteckenCC wrote:Du willst wissen, was ich anders machen würde? Meine Zeit nicht mit einer Personal Firewall verschwenden, sondern lieber überlegen, wie ich die angebotenen Dienste so sicher konfiguriere, dass ich nachts halbwegs ruhig schlafen kann.
Die Frage DROP oder REJECT ist sinnfrei. Ein potentieller Angreifer hat 1000 Möglichkeiten, herauszufinden, ob Dein Server läuft und wird sich nie auf diese Antwort verlassen. Er muss einfach nur einmal auf Port 80 zugreifen, dann weiss er es. (Merke: Die korrekte Antwort, wenn Du Server wirklich nicht liefe, käme vom Router davor!)
Robert
