|
|
 | Firewall - men hvilken ??
Fra : Karsten Jensen |
Dato : 18-05-01 11:06 |
|
Jeg har lige fået ADSL og påtænker at bruge en Firewall, men hvilken
bør jeg bruge. Jeg har tænkt på Nortons Firewall som man kan downloade
via Opasia - eller et andet program Zone Alarm som jeg har fået
anbefalet.
---
Med venlig hilsen fra
Karsten Jensen
k-j@post6.tele.dk
| |
 Martin Møller (18-05-2001)
| Kommentar
Fra : Martin Møller |
Dato : 18-05-01 11:16 |
|
On Fri, 18 May 2001 12:05:51 +0200, Karsten Jensen <k-j@post6.tele.dk>
wrote:
> Jeg har lige fået ADSL og påtænker at bruge en Firewall, men hvilken
> bør jeg bruge. Jeg har tænkt på Nortons Firewall som man kan downloade
> via Opasia - eller et andet program Zone Alarm som jeg har fået
> anbefalet.
Jeg bruger Tiny Personal Firewall, som jeg er meget tilfreds med. Den
er en mellemting af ZoneAlarm og en alm. firewall i den forstand at
den både er port/protokol/ip- og applikations-orienteret. Se evt.:
http://www.tinysoftware.com/
--
Med venlig hilsen / Best regards
Martin Møller
E-mail: martinhm@spamfilter.dk
| |
Palle Hans Jensen (18-05-2001)
| Kommentar
Fra : Palle Hans Jensen |
Dato : 18-05-01 11:30 |
|
Jeg vil anbefale SyGate fra www.sygate.com.
Nem og overskuelig firewall, som er let at anvende og
konfigurere. Og så har den fået gode anmeldelser også.
| |
 Palle Hans Jensen (18-05-2001)
| Kommentar
Fra : Palle Hans Jensen |
Dato : 18-05-01 11:31 |
|
> Nem og overskuelig firewall, som er let at anvende og
> konfigurere. Og så har den fået gode anmeldelser også.
Glemte lige det vigtigste: Den er gratis 
| |
Ole Michaelsen (18-05-2001)
| Kommentar
Fra : Ole Michaelsen |
Dato : 18-05-01 11:52 |
|
"Palle Hans Jensen" <diesel@lazy.dk> writes:
> > Nem og overskuelig firewall, som er let at anvende og
> > konfigurere. Og så har den fået gode anmeldelser også.
>
> Glemte lige det vigtigste: Den er gratis
^^^^^^^
Det er forhaabentlig en joke??
-- Ole
| |
David (18-05-2001)
| Kommentar
Fra : David |
Dato : 18-05-01 13:52 |
|
nej det er ikke en joke, kører selm med den og er meget tilfreds med den.
Jonathan
"Ole Michaelsen" <omic+usenet1@fys.ku.dk> wrote in message
news:87n18bc4lj.fsf@mobilix.dk...
> "Palle Hans Jensen" <diesel@lazy.dk> writes:
>
> > > Nem og overskuelig firewall, som er let at anvende og
> > > konfigurere. Og så har den fået gode anmeldelser også.
> >
> > Glemte lige det vigtigste: Den er gratis
>
> ^^^^^^^
>
> Det er forhaabentlig en joke??
>
> -- Ole
>
| |
Ole Michaelsen (18-05-2001)
| Kommentar
Fra : Ole Michaelsen |
Dato : 18-05-01 14:20 |
|
> "Ole Michaelsen" <omic+usenet1@fys.ku.dk> wrote in message
> > >
> > > Glemte lige det vigtigste: Den er gratis
> >
> > ^^^^^^^
> >
> > Det er forhaabentlig en joke??
> >
> > -- Ole
> >
>
>
"David" <jonamars@hotmail.com> writes:
> nej det er ikke en joke, kører selm med den og er meget tilfreds med den.
> Jonathan
Jeg tvivler ikke på du er tilfreds, jeg undrer mig bare over at du
hævder at det vigtigste ved en firewall er at den er gratis.
Jeg ville umiddelbart prioritere andre faktorer højere.
-- Ole
| |
Bertel Lund Hansen (18-05-2001)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 18-05-01 14:45 |
|
Ole Michaelsen skrev:
>Jeg tvivler ikke på du er tilfreds, jeg undrer mig bare over at du
>hævder at det vigtigste ved en firewall er at den er gratis.
Det var nok en djåug.
--
Bertel
http://lundhansen.dk/bertel/ FIDUSO: http://fiduso.dk/
| |
Palle Hans Jensen (18-05-2001)
| Kommentar
Fra : Palle Hans Jensen |
Dato : 18-05-01 19:10 |
|
> Jeg tvivler ikke på du er tilfreds, jeg undrer mig bare over at du
> hævder at det vigtigste ved en firewall er at den er gratis.
>
> Jeg ville umiddelbart prioritere andre faktorer højere.
Nej det var ikke en joke, men jeg medgiver at det var dårligt sagt
Det der foregik i mit hovede, var at jeg tænkte over at Karsten
ville kunne downloade en fra nettet og jeg antog at det han ville
have var en gratis firewall. Men idet jeg tog for givet at han ville
have en gratis, burde han jo også antage at man foreslog gratis
firewalls Så det var en overflødig og uvæsentlig bemærkning.
Men taget i betragtning af at den er gratis synes jeg nu at det
er en god firewall (Selvom jeg et andet sted i forummet ytrer at
jeg har være hacket og alt muligt, men det var en anden historie 
| |
Karsten Jensen (20-05-2001)
| Kommentar
Fra : Karsten Jensen |
Dato : 20-05-01 12:12 |
|
On Fri, 18 May 2001 20:10:24 +0200, "Palle Hans Jensen"
<diesel@lazy.dk> wrote:
>Det der foregik i mit hovede, var at jeg tænkte over at Karsten
>ville kunne downloade en fra nettet og jeg antog at det han ville
>have var en gratis firewall.
Rigtig antaget..... 
---
Med venlig hilsen fra
Karsten Jensen
k-j@post6.tele.dk
| |
Lars Petersen (18-05-2001)
| Kommentar
Fra : Lars Petersen |
Dato : 18-05-01 20:07 |
|
> Jeg tvivler ikke på du er tilfreds, jeg undrer mig bare over at du
> hævder at det vigtigste ved en firewall er at den er gratis.
Nu er det bare sådan at de fleste rigtig gode firewalls er gratis ;)
Linux er godt ;)
> Jeg ville umiddelbart prioritere andre faktorer højere.
Meget sandt.
--
-
Lars
Husk: Hvis du vil maile mig, er der ingen virkelighed i min mail!
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
| |
Henrik Walther (19-05-2001)
| Kommentar
Fra : Henrik Walther |
Dato : 19-05-01 09:44 |
|
It's rumoured "Lars Petersen" <lars@virkelighed.ioflux.net> wrote:
>> Jeg tvivler ikke på du er tilfreds, jeg undrer mig bare over at du
>> hævder at det vigtigste ved en firewall er at den er gratis.
>
>Nu er det bare sådan at de fleste rigtig gode firewalls er gratis ;)
>Linux er godt ;)
Ja prismæssigt men ikke tidsmæssigt.
>> Jeg ville umiddelbart prioritere andre faktorer højere.
>
>Meget sandt.
--
Henrik Walther
A dream is an answer to a question we have not yet learned to ask ourselves..
| |
Karsten (19-05-2001)
| Kommentar
Fra : Karsten |
Dato : 19-05-01 10:00 |
|
In article <ogccgtc6pt51fltpelq1m0vvv6tuu4vu62@4ax.com>, "Henrik Walther"
<spam@cph.adsl.dk> wrote:
>>Nu er det bare sådan at de fleste rigtig gode firewalls er gratis ;)
>>Linux er godt ;)
>
> Ja prismæssigt men ikke tidsmæssigt.
Tidsmæssigt? Hvad skal det lige betyde?
/Karsten
| |
Kent Friis (19-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 19-05-01 10:41 |
|
Den Sat, 19 May 2001 11:00:10 +0200 skrev Karsten:
>In article <ogccgtc6pt51fltpelq1m0vvv6tuu4vu62@4ax.com>, "Henrik Walther"
><spam@cph.adsl.dk> wrote:
>
>>>Nu er det bare sådan at de fleste rigtig gode firewalls er gratis ;)
>>>Linux er godt ;)
>>
>> Ja prismæssigt men ikke tidsmæssigt.
>
>Tidsmæssigt? Hvad skal det lige betyde?
Måske at hvis man køber en hardware-firewall (fx. en Cisco PIX), så
bruger man et par dage på at konfigurere den, og et par timer om ugen
på problemer med den. Hvis man derimod sætter en linux-maskine op, så
bruger man ti minutter på at konfigurere iptables, og så "kom man lige
til" at installere UT, Q3, SMAC,... og så spilder man lige de næste
par uger
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Karsten (19-05-2001)
| Kommentar
Fra : Karsten |
Dato : 19-05-01 14:41 |
|
In article <9e5f39$j02$1@sunsite.dk>, "Kent Friis" <kfr@fleggaard.dk>
wrote:
>>Tidsmæssigt? Hvad skal det lige betyde?
>
> Måske at hvis man køber en hardware-firewall (fx. en Cisco PIX), så
> bruger man et par dage på at konfigurere den, og et par timer om ugen på
> problemer med den. Hvis man derimod sætter en linux-maskine op, så
> bruger man ti minutter på at konfigurere iptables, og så "kom man lige
> til" at installere UT, Q3, SMAC,... og så spilder man lige de næste par
> uger
*Lol* Det lyder ligesom underligt bekendt... Men nu er de programmer du
nævner jo også lukket kode, så er man jo nødt til at være lidt på vagt
den første tid. Selv venter jeg på at Linuxspil.dk skal få smac, så jeg
kan teste den for ondsindet kode
/Karsten
| |
Kent Friis (19-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 19-05-01 14:53 |
|
Den Sat, 19 May 2001 15:40:59 +0200 skrev Karsten:
>In article <9e5f39$j02$1@sunsite.dk>, "Kent Friis" <kfr@fleggaard.dk>
>wrote:
>
>>>Tidsmæssigt? Hvad skal det lige betyde?
>>
>> Måske at hvis man køber en hardware-firewall (fx. en Cisco PIX), så
>> bruger man et par dage på at konfigurere den, og et par timer om ugen på
>> problemer med den. Hvis man derimod sætter en linux-maskine op, så
>> bruger man ti minutter på at konfigurere iptables, og så "kom man lige
>> til" at installere UT, Q3, SMAC,... og så spilder man lige de næste par
>> uger
>
>*Lol* Det lyder ligesom underligt bekendt... Men nu er de programmer du
>nævner jo også lukket kode, så er man jo nødt til at være lidt på vagt
>den første tid. Selv venter jeg på at Linuxspil.dk skal få smac, så jeg
>kan teste den for ondsindet kode
Sjovt nok er det den samme jeg venter på
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Flemming Riis (18-05-2001)
| Kommentar
Fra : Flemming Riis |
Dato : 18-05-01 15:02 |
|
"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:9e5trb$9ed$1@sunsite.dk.
> >*Lol* Det lyder ligesom underligt bekendt... Men nu er de programmer du
> >nævner jo også lukket kode, så er man jo nødt til at være lidt på vagt
> >den første tid. Selv venter jeg på at Linuxspil.dk skal få smac, så jeg
> >kan teste den for ondsindet kode
>
> Sjovt nok er det den samme jeg venter på
Uden at vide 2 meter om kode , men tager det ikke en del tid at "blade"
et program igemmen for hulle/bagdøre eller ?
| |
Kent Friis (19-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 19-05-01 15:14 |
|
Den Fri, 18 May 2001 16:01:43 +0200 skrev Flemming Riis:
>"Kent Friis" <kfr@fleggaard.dk> wrote in message
>news:9e5trb$9ed$1@sunsite.dk.
>
>> >*Lol* Det lyder ligesom underligt bekendt... Men nu er de programmer du
>> >nævner jo også lukket kode, så er man jo nødt til at være lidt på vagt
>> >den første tid. Selv venter jeg på at Linuxspil.dk skal få smac, så jeg
>> >kan teste den for ondsindet kode
>>
>> Sjovt nok er det den samme jeg venter på
>
>Uden at vide 2 meter om kode , men tager det ikke en del tid at "blade"
>et program igemmen for hulle/bagdøre eller ?
Smac indeholder faktisk en del "mindworms", og de kan godt være
ondsindede (men nogen af dem kan også udnyttes til egne formål)
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Martin Schultz (19-05-2001)
| Kommentar
Fra : Martin Schultz |
Dato : 19-05-01 16:07 |
|
On Sat, 19 May 2001 14:13:54 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:
>Smac indeholder faktisk en del "mindworms", og de kan godt være
>ondsindede (men nogen af dem kan også udnyttes til egne formål)
probesne i smac er også grimme og kan udnyttes til at bryde ind i dine
installationer ;)
| |
Gorm Jorgensen (19-05-2001)
| Kommentar
Fra : Gorm Jorgensen |
Dato : 19-05-01 19:30 |
|
>>Tidsmæssigt? Hvad skal det lige betyde?
>
> Måske at hvis man køber en hardware-firewall (fx. en Cisco PIX), så
> bruger man et par dage på at konfigurere den, og et par timer om ugen
> på problemer med den. Hvis man derimod sætter en linux-maskine op, så
> bruger man ti minutter på at konfigurere iptables, og så "kom man lige
> til" at installere UT, Q3, SMAC,... og så spilder man lige de næste
> par uger
>
Nu kender jeg ikke PIX'en særlig godt, men du kan ikke ligestille en linux
med iptables og en proff. firewall. Valg af firewall kommer for det mest an
på hvilke funktionaliteter du efterspørger, og når du bruger mange af de
features man kan få, kræver det selvfølgelig mere tid at konfigurere.
Og det er fuldstændig ligemeget hvilken firewall du vælger så skal du bruge
tid på at gennemgå loggen for at se hvad der er sket i ugens løb.
Jeg er selv tilhænger af linux/BSD og tilhørende frie produkter, men man
må bare indse at der er en grænse, og mange gang skiller de på grænsen
mellem privat og proff. brug.
--
Gorm Jorgensen - UB++++
http://www.area51.dk/
| |
Kent Friis (19-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 19-05-01 20:13 |
|
Den Sat, 19 May 2001 20:29:35 +0200 skrev Gorm Jorgensen:
>>>Tidsmæssigt? Hvad skal det lige betyde?
>>
>> Måske at hvis man køber en hardware-firewall (fx. en Cisco PIX), så
>> bruger man et par dage på at konfigurere den, og et par timer om ugen
>> på problemer med den. Hvis man derimod sætter en linux-maskine op, så
>> bruger man ti minutter på at konfigurere iptables, og så "kom man lige
>> til" at installere UT, Q3, SMAC,... og så spilder man lige de næste
>> par uger
>>
>Nu kender jeg ikke PIX'en særlig godt, men du kan ikke ligestille en linux
>med iptables og en proff. firewall.
Nej dertil har PIX'en sg* alt for mange mangler.
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Gorm Jorgensen (20-05-2001)
| Kommentar
Fra : Gorm Jorgensen |
Dato : 20-05-01 08:27 |
|
>>Nu kender jeg ikke PIX'en særlig godt, men du kan ikke ligestille en linux
>>med iptables og en proff. firewall.
>
> Nej dertil har PIX'en sg* alt for mange mangler.
>
OK, lyder som om du har haft en temmelig dårlig erfaring med den box ?
--
Gorm Jorgensen - UB++++
http://www.area51.dk/
| |
Kent Friis (20-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 20-05-01 10:19 |
|
Den Sun, 20 May 2001 09:26:37 +0200 skrev Gorm Jorgensen:
>>>Nu kender jeg ikke PIX'en særlig godt, men du kan ikke ligestille en linux
>>>med iptables og en proff. firewall.
>>
>> Nej dertil har PIX'en sg* alt for mange mangler.
>>
>OK, lyder som om du har haft en temmelig dårlig erfaring med den box ?
Min opfattelse er at Cisco hovedsagelig sælger på navnet (lidt ala.
MSFT).
Et eksempel:
Vi havde problemer med ident timeouts på en meget stor del af
FTP-servere på internettet, og jeg vidste at det er nok at sende
"connection refused", for at undgå problemet (det havde virket på en
linux-maskine i længe). Vi checkede PIX-manualen, og fandt Cisco's
løsningsforslag:
1. Reconfigure the remote system to not use the ident protocol.
- Har cisco aldrig fundet ud af at "the remote system" = "hele
internettet"?
pkt 2 og 3 var lige så ubrugelige, og som pkt 4 kom så at man kunne
få PIX'en til at sende "connection refused" på _alle porte_ - det var
altså det nærmeste vi kunne komme på port 113. Og så stod der SVJH
noget om at denne løsning ikke anbefales.
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Asbjorn Hojmark (20-05-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 20-05-01 12:40 |
|
On Sun, 20 May 2001 09:19:14 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:
> Vi havde problemer med ident timeouts på en meget stor del af
> FTP-servere på internettet, og jeg vidste at det er nok at sende
> "connection refused", for at undgå problemet
Den typiske løsningsmodel er (var) at tillade IDENT mod de hosts,
der initierede forbindelsen til den pågældende server, så kunne
de selv svare RST. En anden løsningsmodel er at forwarde IDENT
til noget man ved, vil svare fornuftigt (RST) på IDENT.
Men idag kan man konfigurere PIXen til selv at sende en RST for
netop IDENT, selvom man laver silent discards for alt andet.
> 1. Reconfigure the remote system to not use the ident protocol.
Det er basalt set den rigtige løsningsmodel.
Folk der ikke slår IDENT fra på deres servere er nogle fæ. Der er
ingen god grund til, at Internet-opkoblede systemer sender IDENT
requests ved connect mod mail- og FTP-servere.
Faktisk er det decideret tåbeligt, når man ved, at stort set
ingen svarer på det. De få der svarer, svarer noget ubrugeligt.
Og en række steder giver det kun problemer.
> - Har cisco aldrig fundet ud af at "the remote system" = "hele
> internettet"?
Ja, nogle problemer er man nødt til at forholde sig lidt mere
praktisk end teoretisk til, og det er naturligvis rigtigt, at der
er tonsvis af mail- og ftp-servere derude, hvor sysadm ikke har
haft åndsnærværelse til at slå IDENT fra.
Der er som sagt flere udmærkede måder at løse det på.
-A
--
http://www.hojmark.org/
| |
Kent Friis (20-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 20-05-01 14:58 |
|
Den Sun, 20 May 2001 13:39:39 +0200 skrev Asbjorn Hojmark:
>On Sun, 20 May 2001 09:19:14 +0000 (UTC), kfr@fleggaard.dk (Kent
>Friis) wrote:
>
>> Vi havde problemer med ident timeouts på en meget stor del af
>> FTP-servere på internettet, og jeg vidste at det er nok at sende
>> "connection refused", for at undgå problemet
>
>Den typiske løsningsmodel er (var) at tillade IDENT mod de hosts,
>der initierede forbindelsen til den pågældende server, så kunne
>de selv svare RST. En anden løsningsmodel er at forwarde IDENT
>til noget man ved, vil svare fornuftigt (RST) på IDENT.
Det var sg* da en besværlig måde at gøre det på.
>Men idag kan man konfigurere PIXen til selv at sende en RST for
>netop IDENT, selvom man laver silent discards for alt andet.
Så er den ved at være lige så langt som linux'en var for adskillige
år siden
>> 1. Reconfigure the remote system to not use the ident protocol.
>
>Det er basalt set den rigtige løsningsmodel.
>
>Folk der ikke slår IDENT fra på deres servere er nogle fæ. Der er
>ingen god grund til, at Internet-opkoblede systemer sender IDENT
>requests ved connect mod mail- og FTP-servere.
>
>Faktisk er det decideret tåbeligt, når man ved, at stort set
>ingen svarer på det. De få der svarer, svarer noget ubrugeligt.
>Og en række steder giver det kun problemer.
De steder hvor det giver problemer er kun de steder der ikke kan finde
ud af at konfigurere deres firewalls. Så jeg kan ikke se problemet.
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Jesper Dybdal (20-05-2001)
| Kommentar
Fra : Jesper Dybdal |
Dato : 20-05-01 17:55 |
|
kfr@fleggaard.dk (Kent Friis) wrote:
>Den Sun, 20 May 2001 13:39:39 +0200 skrev Asbjorn Hojmark:
>>Men idag kan man konfigurere PIXen til selv at sende en RST for
>>netop IDENT, selvom man laver silent discards for alt andet.
>
>Så er den ved at være lige så langt som linux'en var for adskillige
>år siden
Hvis jeg ikke tager meget fejl er muligheden for at sende en tcp
connection reset fra en Linux-firewall da splinterny i 2.4's
Netfilter.
Man har længe kunnet sende en ICMP-pakke der afviste
forbindelsen, men der findes faktisk mindst én kombination af
postserverprogram og operativsystem som ganske nægter at tage
imod post hvis man afviser dens IDENT sådan (spørg mig ikke
hvilket program det var, men en af mine kolleger forsøgte i hvert
fald en gang at sende post til sådan én).
En connection reset virker derimod altid fint. Så i Linux 2.4
(og PIX, åbenbart) er det særdeles anbefalelsesværdigt at kvæle
alt hvad der ligner IDENT med en RST.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Kent Friis (20-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 20-05-01 18:15 |
|
Den Sun, 20 May 2001 18:54:39 +0200 skrev Jesper Dybdal:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>>Den Sun, 20 May 2001 13:39:39 +0200 skrev Asbjorn Hojmark:
>>>Men idag kan man konfigurere PIXen til selv at sende en RST for
>>>netop IDENT, selvom man laver silent discards for alt andet.
>>
>>Så er den ved at være lige så langt som linux'en var for adskillige
>>år siden
>
>Hvis jeg ikke tager meget fejl er muligheden for at sende en tcp
>connection reset fra en Linux-firewall da splinterny i 2.4's
>Netfilter.
>
>Man har længe kunnet sende en ICMP-pakke der afviste
>forbindelsen, men der findes faktisk mindst én kombination af
>postserverprogram og operativsystem som ganske nægter at tage
>imod post hvis man afviser dens IDENT sådan (spørg mig ikke
>hvilket program det var, men en af mine kolleger forsøgte i hvert
>fald en gang at sende post til sådan én).
Jeg troede egentlig det var det -j REJECT gjorde under ipchains,
men det kan da godt være jeg tager fejl.
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Jesper Dybdal (20-05-2001)
| Kommentar
Fra : Jesper Dybdal |
Dato : 20-05-01 22:01 |
|
kfr@fleggaard.dk (Kent Friis) wrote:
>Den Sun, 20 May 2001 18:54:39 +0200 skrev Jesper Dybdal:
>>Hvis jeg ikke tager meget fejl er muligheden for at sende en tcp
>>connection reset fra en Linux-firewall da splinterny i 2.4's
>>Netfilter.
>
>Jeg troede egentlig det var det -j REJECT gjorde under ipchains,
>men det kan da godt være jeg tager fejl.
Nej, den sender en ICMP-afvisning. Det _burde_ være lige så
godt, men er det desværre ikke i praksis.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Kent Friis (20-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 20-05-01 22:19 |
|
Den Sun, 20 May 2001 23:01:13 +0200 skrev Jesper Dybdal:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>>Den Sun, 20 May 2001 18:54:39 +0200 skrev Jesper Dybdal:
>>>Hvis jeg ikke tager meget fejl er muligheden for at sende en tcp
>>>connection reset fra en Linux-firewall da splinterny i 2.4's
>>>Netfilter.
>>
>>Jeg troede egentlig det var det -j REJECT gjorde under ipchains,
>>men det kan da godt være jeg tager fejl.
>
>Nej, den sender en ICMP-afvisning. Det _burde_ være lige så
>godt, men er det desværre ikke i praksis.
Jeg har nu aldrig haft problemer.
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Jesper Dybdal (20-05-2001)
| Kommentar
Fra : Jesper Dybdal |
Dato : 20-05-01 22:54 |
|
kfr@fleggaard.dk (Kent Friis) wrote:
>Den Sun, 20 May 2001 23:01:13 +0200 skrev Jesper Dybdal:
>>kfr@fleggaard.dk (Kent Friis) wrote:
>>
>>Nej, den sender en ICMP-afvisning. Det _burde_ være lige så
>>godt, men er det desværre ikke i praksis.
>
>Jeg har nu aldrig haft problemer.
Det var svjh også kun en enkelt server ude i verden jeg oplevede
problemet med. Men når man har en kollega som faktisk gerne vil
sende post til den server, så er det jo irriterende nok.
I øvrigt er ICMP-varianten jo den der _principielt_ burde bruges
af en ruter/firewall: RST er jo noget der i princippet sendes fra
selve den adresserede server (det er en del af TCP-protokollen,
som jo foregår mellem de to endepunkter), og når en firewall vil
gøre det på vegne af serveren skal den altså simulere at den
adresserede server har sendt den RST. Så RST-løsningen er
teknisk set noget rod, men i praksis virker den perfekt.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Karsten Jensen (21-05-2001)
| Kommentar
Fra : Karsten Jensen |
Dato : 21-05-01 00:04 |
|
Nu har jeg hørt noget om hvilken firewall folk bruger, men jeg er
stadig ikke blevet klogere på hvad jeg skal bruge. Dog har jeg ofte
hørt ZoneAlarm nævnt. Troede egentlig at Nortons Firewall var
anbefalet oftere.
---
Med venlig hilsen fra
Karsten Jensen
k-j@post6.tele.dk
| |
Martin Moller Peders~ (21-05-2001)
| Kommentar
Fra : Martin Moller Peders~ |
Dato : 21-05-01 07:01 |
|
In <f0jggt0qjku3i5hpbiga0kuctcubk7l8qa@4ax.com> Karsten Jensen <k-j@post6.tele.dk> writes:
>Nu har jeg hørt noget om hvilken firewall folk bruger, men jeg er
>stadig ikke blevet klogere på hvad jeg skal bruge. Dog har jeg ofte
>hørt ZoneAlarm nævnt. Troede egentlig at Nortons Firewall var
>anbefalet oftere.
Ingen firewall er noget vaerd, hvis man ikke gider laese manualen og
ved hvad en fire-wall skal goere paa ens eget system.
Mvh
Martin
| |
Asbjorn Hojmark (20-05-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 20-05-01 23:12 |
|
On Sun, 20 May 2001 13:57:43 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:
>> Den typiske løsningsmodel er (var) at tillade IDENT mod de hosts,
>> der initierede forbindelsen til den pågældende server, så kunne
>> de selv svare RST. En anden løsningsmodel er at forwarde IDENT
>> til noget man ved, vil svare fornuftigt (RST) på IDENT.
> Det var sg* da en besværlig måde at gøre det på.
Ja, den sidste er besværlig, men den første er da ret indlysende:
Hvis en mailserver ude i verden har det bedst med, at den server,
der forsøger en connect, laver en RST på en SYN for IDENT, så er
det da oplagt at lade serveren svare med RST.
>> Men idag kan man konfigurere PIXen til selv at sende en RST for
>> netop IDENT, selvom man laver silent discards for alt andet.
> Så er den ved at være lige så langt som linux'en var for adskillige
> år siden
Mig bekendt bruges der ICMP Port Unreachable, og det er ikke helt
sammenligneligt. (Men det er bestemt muligt, jeg ikke er helt up
to date med, hvad man kan med Linux, og at RST er kommet til
senere).
>> Folk der ikke slår IDENT fra på deres servere er nogle fæ. Der er
>> ingen god grund til, at Internet-opkoblede systemer sender IDENT
>> requests ved connect mod mail- og FTP-servere.
> De steder hvor det giver problemer er kun de steder der ikke kan finde
> ud af at konfigurere deres firewalls. Så jeg kan ikke se problemet.
Som sagt: Der er *ingen* god grund til, at man skal lave et IDENT
request, og når det så oven i købet giver problemer nogle steder,
så er man efter min mening et fæ, hvis man ikke forholder sig til
virkeligheden og slår det fra.
-A
--
http://www.hojmark.org/
| |
Jesper Dybdal (21-05-2001)
| Kommentar
Fra : Jesper Dybdal |
Dato : 21-05-01 22:26 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>Mig bekendt bruges der ICMP Port Unreachable, og det er ikke helt
>sammenligneligt.
Ja, i Linux 2.2 med ipchains.
>(Men det er bestemt muligt, jeg ikke er helt up
>to date med, hvad man kan med Linux, og at RST er kommet til
>senere).
Ja, i Linux 2.4 med Netfilter/iptables. (Du er såmænd meget
velkommen til at sende en ident til nuser.dybdal.dk
(193.89.241.80) og se den resulterende RST.)
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Larz (19-05-2001)
| Kommentar
Fra : Larz |
Dato : 19-05-01 20:47 |
|
> Nu kender jeg ikke PIX'en særlig godt, men du kan ikke ligestille en linux
> med iptables og en proff. firewall. Valg af firewall kommer for det mest
an
> på hvilke funktionaliteter du efterspørger, og når du bruger mange af de
> features man kan få, kræver det selvfølgelig mere tid at konfigurere.
Nu kender jeg en sikkerhedsekspert (Randy Meyers, Ajilon), som mener
at PIX'en ikke er en rigtig firewall... Men det er jo hans mening.
PIX'en har jo heller ikke stateful inspection...
> Og det er fuldstændig ligemeget hvilken firewall du vælger så skal du
bruge
> tid på at gennemgå loggen for at se hvad der er sket i ugens løb.
Vise ord :)
> Jeg er selv tilhænger af linux/BSD og tilhørende frie produkter, men man
> må bare indse at der er en grænse, og mange gang skiller de på grænsen
> mellem privat og proff. brug.
Til *BSD har man længe haft gode firewalls, og nu til linux med 2.4 kernen,
har vi også fået stateful inspection - så det er jo en lækkerhed.
Men som du selv siger, man skal have tid til at kigge logfiler igennem,
ellers
er det jo lidt ligemeget...
=)
--
--
Lars
--Hvis du vil maile mig, så husk at der ikke er virkelighed i min mail!---
--Uofficiel SOHO 77 FAQ - http://coder.dk/sohofaq.php --
| |
Kent Friis (19-05-2001)
| Kommentar
Fra : Kent Friis |
Dato : 19-05-01 22:08 |
|
Den Sat, 19 May 2001 21:47:12 +0200 skrev Larz:
>> Nu kender jeg ikke PIX'en særlig godt, men du kan ikke ligestille en linux
>> med iptables og en proff. firewall. Valg af firewall kommer for det mest
>an
>> på hvilke funktionaliteter du efterspørger, og når du bruger mange af de
>> features man kan få, kræver det selvfølgelig mere tid at konfigurere.
>
>Nu kender jeg en sikkerhedsekspert (Randy Meyers, Ajilon), som mener
>at PIX'en ikke er en rigtig firewall... Men det er jo hans mening.
Har du tilfældigvis et link, hvor det er beskrevet? Jeg kunne godt
tænke mig at læse argumentationen...
>PIX'en har jo heller ikke stateful inspection...
Sikker?
>> Og det er fuldstændig ligemeget hvilken firewall du vælger så skal du
>bruge
>> tid på at gennemgå loggen for at se hvad der er sket i ugens løb.
>
>Vise ord :)
>
>> Jeg er selv tilhænger af linux/BSD og tilhørende frie produkter, men man
>> må bare indse at der er en grænse, og mange gang skiller de på grænsen
>> mellem privat og proff. brug.
>
>Til *BSD har man længe haft gode firewalls, og nu til linux med 2.4 kernen,
>har vi også fået stateful inspection - så det er jo en lækkerhed.
Mit indtryk var ellers, at det er selve systemet + at man ikke
installerer alle de tåbelige daemons, der gør *BSD meget sikkert.
Jeg mener at have læst, at ipfw under linux 1.2 var den samme som den
ipfw *BSD bruger, men den blev skiftet ud med først ipfwadm (2.0),
og så ipchains (2.2) og iptables(2.4) for at forbedre linux' egenskaber
som firewall.
>Men som du selv siger, man skal have tid til at kigge logfiler igennem,
>ellers er det jo lidt ligemeget...
Det er stadig en fordel med en relativt sikker firewall, selvom man
ikke kigger logfilen igennem.
Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - nu med Elgo-billeder
| |
Gorm Jorgensen (20-05-2001)
| Kommentar
Fra : Gorm Jorgensen |
Dato : 20-05-01 08:31 |
|
>>Men som du selv siger, man skal have tid til at kigge logfiler igennem,
>>ellers er det jo lidt ligemeget...
>
> Det er stadig en fordel med en relativt sikker firewall, selvom man
> ikke kigger logfilen igennem.
>
Mjae, selv den bedste firewall yder ingen beskyttelse hvis den er
fejlkonfigureret, og man kender ej heller til evt. forsøg på indbrud hvis
man ikke kigger efter.
--
Gorm Jorgensen - UB++++
http://www.area51.dk/
| |
Asbjorn Hojmark (19-05-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 19-05-01 22:58 |
|
On Sat, 19 May 2001 21:47:12 +0200, "Larz"
<lars@virkelighed.ioflux.net> wrote:
> Nu kender jeg en sikkerhedsekspert (Randy Meyers, Ajilon), som mener
> at PIX'en ikke er en rigtig firewall... Men det er jo hans mening.
Mja. Cisco PIX er certificeret efter Common Criteria EAL-4. Mig
bekendt er ingen firewall certificeret højere.
Hvad er Randys argumentation for, at en PIX ikke skulle være 'en
rigtig firewall'?
> PIX'en har jo heller ikke stateful inspection...
Det er basalt set noget sludder.
-A
--
http://www.hojmark.org/
| |
Larz (20-05-2001)
| Kommentar
Fra : Larz |
Dato : 20-05-01 14:38 |
|
> > Nu kender jeg en sikkerhedsekspert (Randy Meyers, Ajilon), som mener
> > at PIX'en ikke er en rigtig firewall... Men det er jo hans mening.
>
> Mja. Cisco PIX er certificeret efter Common Criteria EAL-4. Mig
> bekendt er ingen firewall certificeret højere.
>
> Hvad er Randys argumentation for, at en PIX ikke skulle være 'en
> rigtig firewall'?
Ja godt spørgsmål, jeg husker det ikke.
> > PIX'en har jo heller ikke stateful inspection...
>
> Det er basalt set noget sludder.
Ja du har ret, jeg burde lige have været sikker inden jeg sagde noget.
Jeg trækker hermed mit sludder tilbage.
Et projekt jeg arbejder med, skulle have en firewall, og nogen kiggede
på PIX'en, men den blev hurtigt forkastet, da den slet ikke kan håndtere
store båndbredder...
--
--
Lars
--Hvis du vil maile mig, så husk at der ikke er virkelighed i min mail!---
--Uofficiel SOHO 77 FAQ - http://coder.dk/sohofaq.php --
| |
Flemming Riis (20-05-2001)
| Kommentar
Fra : Flemming Riis |
Dato : 20-05-01 15:13 |
|
On Sun, 20 May 2001 15:38:13 +0200, "Larz"
<lars@virkelighed.ioflux.net> wrote:
>Et projekt jeg arbejder med, skulle have en firewall, og nogen kiggede
>på PIX'en, men den blev hurtigt forkastet, da den slet ikke kan håndtere
>store båndbredder...
Øh
http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/
fra 7 til 1000Mb/s er da rimeligt eller ?
| |
Larz (20-05-2001)
| Kommentar
Fra : Larz |
Dato : 20-05-01 16:05 |
| | |
Karsten (20-05-2001)
| Kommentar
Fra : Karsten |
Dato : 20-05-01 17:59 |
|
In article <03RN6.23864$zv2.2778372@news010.worldonline.dk>, "Larz"
<lars@virkelighed.ioflux.net> wrote:
>> http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/
>>
>> fra 7 til 1000Mb/s er da rimeligt eller ?
>
> Ikke når man skal bruge 2,4Gb/s ;)
Ahh... En mand, der tager sin p0rn alvorligt
/Karsten
| |
Asbjorn Hojmark (20-05-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 20-05-01 23:06 |
|
On Sun, 20 May 2001 17:05:17 +0200, "Larz"
<lars@virkelighed.ioflux.net> wrote:
>> fra 7 til 1000Mb/s er da rimeligt eller ?
> Ikke når man skal bruge 2,4Gb/s ;)
Hvilket produkt fandt du, der kan håndtere rigtig firewalling af
trafik ved wirerate OC-192? Og lige så interessant, når serverne
er forbundet med gigabit, hvorfor rækker det så ikke at sætte en
gigabit firewall foran dem?
-A
--
http://www.hojmark.org/
| |
Simon Skals (21-05-2001)
| Kommentar
Fra : Simon Skals |
Dato : 21-05-01 22:41 |
|
It seems Asbjorn Hojmark wrote:
>> Ikke når man skal bruge 2,4Gb/s ;)
>
>Hvilket produkt fandt du, der kan håndtere rigtig firewalling af
>trafik ved wirerate OC-192? [...]
En detalje, men: OC-192/STM-64 er små 10 Gbps. OC-48/STM-16 har
2,5 Gbps at byde på.
--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."
| |
Asbjorn Hojmark (20-05-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 20-05-01 23:02 |
|
On Sun, 20 May 2001 15:38:13 +0200, "Larz"
<lars@virkelighed.ioflux.net> wrote:
> Et projekt jeg arbejder med, skulle have en firewall, og nogen kiggede
> på PIX'en, men den blev hurtigt forkastet, da den slet ikke kan håndtere
> store båndbredder...
Den pt. mindste PIX (506) kan håndtere 8 Mbps. Den pt. største
(535) kan håndtere 1 Gbps. Det skulle dække de flestes behov for
firewalling, så jeg er da interesseret i, hvad det var for et
projekt, hvor det ikke var tilstrækkeligt.
Men mere indteressant end egentligt throughput er, hvordan en
firewall håndterer store mængder af rigtig trafik, dvs. opsætning
og nedtagning af sessioner i rå mængde. Også her er det svært at
finde noget, der er mere effektivt end en PIX.
-A
--
http://www.hojmark.org/
| |
Martin Schultz (18-05-2001)
| Kommentar
Fra : Martin Schultz |
Dato : 18-05-01 14:25 |
|
On Fri, 18 May 2001 12:15:41 +0200, Martin Møller
<martinhm@spamfilter.dk> wrote:
>Jeg bruger Tiny Personal Firewall, som jeg er meget tilfreds med. Den
>er en mellemting af ZoneAlarm og en alm. firewall i den forstand at
>den både er port/protokol/ip- og applikations-orienteret. Se evt.:
>
> http://www.tinysoftware.com/
Den har jeg også gode erfaringer med. Den er også gratis.
| |
Jesper G, Jensen (18-05-2001)
| Kommentar
Fra : Jesper G, Jensen |
Dato : 18-05-01 13:46 |
|
Jeg ville bruge CONSEAL, en stærk og god firewall, som efter ordenlig
opsætning er god beskyttelse mod de "almindelige cracker"
MVH
Jesper
"Karsten Jensen" <k-j@post6.tele.dk> wrote in message
news:3us9gt4hj8a29c8qvhtp72vq21qc8jva2j@4ax.com...
> Jeg har lige fået ADSL og påtænker at bruge en Firewall, men hvilken
> bør jeg bruge. Jeg har tænkt på Nortons Firewall som man kan downloade
> via Opasia - eller et andet program Zone Alarm som jeg har fået
> anbefalet.
> ---
>
> Med venlig hilsen fra
>
> Karsten Jensen
> k-j@post6.tele.dk
| |
Erik Gildsig Poulsen (18-05-2001)
| Kommentar
Fra : Erik Gildsig Poulsen |
Dato : 18-05-01 14:08 |
|
Jeg bruger zonealarm Pro 2.6.84 og den køre fint hos mig
/Erik
--
"Karsten Jensen" <k-j@post6.tele.dk> wrote in message
news:3us9gt4hj8a29c8qvhtp72vq21qc8jva2j@4ax.com...
> Jeg har lige fået ADSL og påtænker at bruge en Firewall, men hvilken
> bør jeg bruge. Jeg har tænkt på Nortons Firewall som man kan downloade
> via Opasia - eller et andet program Zone Alarm som jeg har fået
> anbefalet.
> ---
>
> Med venlig hilsen fra
>
> Karsten Jensen
> k-j@post6.tele.dk
| |
Gevaldi (18-05-2001)
| Kommentar
Fra : Gevaldi |
Dato : 18-05-01 17:49 |
|
"Erik Gildsig Poulsen" <REMOVE egp@email.dk> skrev i en meddelelse news:9e36mk$1ri8$1@news.cybercity.dk...
> Jeg bruger zonealarm Pro 2.6.84 og den køre fint hos mig
Seneste version af ZoneAlarm er 2.6.88, hvis du vil have opdateret.
Gevaldi
| |
|
|