Re: [gentoo-user-de] freetz: knock & AVM firewall vs. iptables

[Bertrand Bremen <bertrand.bremen@gmail.com>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Sandy,

mich hätte interessiert wie erfolgreich das ganze denn nun war. ich
hatte vor längerer zeit mal auch mit einer fritz-box rumgespielt und
damals tor & privoxy darauf installiert. ich war davon sehr begeistert :-)

ich könnte mir vorstellen daß u.U. daß image mit den ganzen
anwendungen von denen Du gesprochen hast zu gross geworden sei?

iptables bringt ja nun einiges an holz mit und auch privoxy ist nicht
zu verachten. doof ist daß man das bei freetz leider immer erst sehr
spät bemerkt.

umso fröhlicher würde es mich jedoch stimmen wenn genau dies nicht der
fall gewesen wäre ;-)

* noch etwas zum knockd: natürlich ist es schön wenn das log nicht
vollgespamt wird, aber es hat bezüglich sicherheit für mich immer was
von "security by obscourity".
und das opfer was man für das gefühl grösserer sicherheit bringen muss
ist ja schon nicht normal mit ssh arbeiten zu können.

Gruß,

Bertrand
> Hallo
>
> Am Donnerstag 02 April 2009 10:27:02 schrieb Bertrand Bremen:
>>> Es läuft, knockd ist eine Prima sache, somit nicht immer alle
>>> Ports
>> offen und
>>
>>> logt keine Angreifer an. Es wird somit natürlich auch schwerer
>>> gehackt zu werden.
>> wäre das an sich nicht effektiver zu erschweren/verunmöglichen
>> wenn man einfach nur etwa public-key-authentifizierung zuliesse?
>> das ist doch auch weitaus weniger stressig als mit knock zu
>> arbeiten, denn knock erfordert ja zudem auch ein anderes vorgehen
>> auf der client-seite.
>
> Das habe ich auch gemacht, nur ich mit meinem Key kann da zugreifen
> - aber der Dienst ist jedoch nur nach einem Knock offen - also
> doppelte Sicherheit
>
>>>> * also transparent könntest Du privoxy ja ganz einfach über
>>>> iptables-Regeln machen, das wäre theorethsich kein Problem,
>>>> aber beachte dabei daß iptables sich u.U. nicht mit der
>>>> AVM-firewall vertragen könnte.
>>> Ich hab jetzt mal ein Forwarding via AVM-Firewall versucht -
>>> funktioniert jedoch nicht. oder geht es nur mit IPTABLES? Was
>>> ich bisher noch nicht
>> freetz
>>
>>> gefunden habe.
>
> Sorry, ich meinte IPTABLES habe ich nicht mehr in Freetz gesehen -
> das letzte mal - vor ca. 1j als ich das machte war IPTABLES noch
> vorhanden im Testingzweig
>
>> also ich fand die AVM-Firewall nicht angenehm, die konfiguration
>> war sehr viel stressiger als die von iptables, aber zugleich ist
>> diese auch viel weniger mächtig als iptables.
>>
>> ich würde sagen den verkehr transparent über privoxy schicken,
>> das bekommt man damit nicht hin.
> Schade!
>> auch seltsam fand ich nebenbei, das die AVM-firewall kein eigener
>>  dienst ist, sondern im (proprietären) dsld von AVM steckt.
>>
> Okay, dann ist nur die WEB-Config ein Dienst und nicht die Firewall
> an sich. Gut zu wissen!
>> => ich würde einfach die finger von dem teil lassen, seine
>> existenz zwar hinnehmen, aber mit iptables arbeiten.// // zu
>> iptables für freetz siehe:
>> http://www.freetz.org/wiki/packages/iptables
> Werde ich mir gleich mal ansehen
>> Gruß,
>>
>> Bertrand
>
> Gruß Sandy
>


- --
Bertrand Bremen <bremen@cip.physik.uni-freiburg.de>
CIP-Pool Administration
Physikalisches Institut, Universitaet Freiburg i.Br.
http://cip.physik.uni-freiburg.de/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFJ+COCchbib46zxGsRAsf4AJ9ghbBpo4ZzhjssXhtBlVxujt4cWQCfQwi7
ujKIwqx3AehLQqrwcS9BC10=
=2hwi
-----END PGP SIGNATURE-----