Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Standleitung (Analog mit Modems)

3 views
Skip to first unread message

Alex Pozgaj

unread,
Jan 14, 1999, 3:00:00 AM1/14/99
to
det...@jojo.escape.de (Detlef Bosau) writes:

[snip]
> Zum hundertsten Mal: Mit Linux ist keine Firewall machbar.
> Diese Augenwischerei mit dem ipfwadm Gemuckel schuetzt Dich vor
> genau: Gar nichts.

Detlef,

da ich einer von solchen bin, die ihren (vernetzten)
Linux-Rechner mit ipfwadm geschuetzt haben (oder zumindest
dachten es gemacht zu haben :-) ), waere ich Dir dankbar, wenn
Du mir die Referenz auf ein Artikel/Text/Howto geben koenntest,
in dem beschrieben ist warum ein mit ipfwadm eingerichtetes
Filter keinen Schutz anbietet.

Gott, was fuer ein langer Satz! :-)

Cheers, alex.
--
"Programming today is a race between software engineers striving
to build bigger and better idiot-proof programs, and the Universe
trying to produce bigger and better idiots. So far, the Universe
is winning." -- Rich Cook

Michael Lausch

unread,
Jan 15, 1999, 3:00:00 AM1/15/99
to

>>>>> "db" == Detlef Bosau <det...@jojo.escape.de>
>>>>> wrote the following on 14 Jan 1999 21:39:00 +0200

db> al...@par.univie.ac.at meinte am 14.01.99
db> zum Thema "Re: Standleitung (Analog mit Modems)":


>>
>> Detlef,
>>
>> da ich einer von solchen bin, die ihren (vernetzten)
>> Linux-Rechner mit ipfwadm geschuetzt haben (oder zumindest
>> dachten es gemacht zu haben :-) ), waere ich Dir dankbar, wenn
>> Du mir die Referenz auf ein Artikel/Text/Howto geben koenntest,
>> in dem beschrieben ist warum ein mit ipfwadm eingerichtetes
>> Filter keinen Schutz anbietet.
>>
>> Gott, was fuer ein langer Satz! :-)
>>
>> Cheers, alex.

db> Nun, es ist ganz einfach.

db> Du kannst mit ipfwadm statische Regeln konfigurieren, z.B. dass externe Rechner
db> nicht auf die reservierten Dienste (<1024) in Deinem Firmennetz
db> zugreifen koennen. Umgekehrt kannst Du konfigurieren, dass Deine
db> internen Rechner nur auf bestimmte, reservierte, Dienste
db> nach aussen zugreifen koennen.

db> Du kannst gewisse Ports fuer gewisse Rechner sperren. Aber letztlich nur
db> statisch.

db> Nun damit Dein Netz plattzukriegen, ist schon mit einem ganz
db> simplen Sync-Attack moeglich. Sobald Du auch nur einen einzigen
db> Port fuer Deine internen Rechner statisch freigibst, kannst Du
db> von aussen mit Sync-Paketen den Rechner zuballern bis zum Abwinken.

Sync packete kommen nicht durch, nur Sync Packete mit Ack bit (-k
option vom ipfwadm) und dann kmmot sofort ein RST zurueck. Von aussen
kann ich den rechner nur dann "zuballern bis zum Abwinken", wenn die
bandbreite am "aussen/dirty" interface ausreicht. Meist ist aber die
nach externe bandbreite (standleitung) sowieso geringer als die
interne. Also kann ich die externe leitung auch mit UDP packeten
zumachen, ausser mein _backbone_ provider filtert auf senem router
(was er sicher nicht machen wird).

Gegen Sync attacken generell hilft die Syn Cookie option beim kernel
konfigurieren.

Weiters macht die `masquerading' option des iopfwadm genau dieses
dynamische erlauben von verbindung, von dem du behauptest das kann
ipfwadm nicht.

--
Michael Lausch/g.a.m.s. edv dienstleistungen gmbh
See my web page <http://www.lausch.at/> or query PGP key server for PGP key.
"Reality is that which, when you stop believing in it, doesn't go away".
-- Philip K. Dick

M. Buchenrieder

unread,
Jan 15, 1999, 3:00:00 AM1/15/99
to
[Newsgroups: line drastically trimmed, non-german groups removed]
[Note FollowUp-To:]

Michael Lausch <m...@gams.at> writes:

[...]

Please stop crossposting this to hell and back.

Michael
--
Michael Buchenrieder * mi...@scrum.greenie.muc.de * http://www.muc.de/~mibu
Lumber Cartel Unit #456 (TINLC) & Official Netscum


0 new messages