Hi Capu, ich hab das Gefühl, dass wir hier in eine Art Wettstreit verfallen. Das ist von meiner Seite nicht beabsichtigt. Ich möchte gerne hier in diesem Thread für jedermann verständlich, die Möglichkeiten der Router-Sicherheit diskutieren und dabei die wichtigen Dinge ein wenig von den 'ich-weiß-nicht-warum-machs aber-trotzdem-weil-es-andere-gibt-die-es-auch-tun'-Geschichten abgrenzen.
Zur DMZ würde ich mir eine Diskussion wünschen, die zum einen erklärt, warum man sowas überhaupt macht (und warum ein 'exposed Host' fast das gleiche macht) und zum anderen, ob man dieses Feature sinnvoll in einem normalen LAN, wo eine DS mit drinnesteckt verwenden kann, z.B. ob man eine DS in die DMZ setzen sollte. Vielleicht gibt es ja jemanden, der seine DS in die DMZ gesetzt hat und kann uns über seine Beweggründe ein wenig erzählen.
Zur Firewall und iptables-Geschichte möchte ich anmerken, dass iptables (und die dazu gehörigen Kernel-Module, wenn sie denn vorhanden sind) 'stateful inspection' kann. Ich sehe also keine wirkliche Differenz zwischen 'iptables' und einer 'richtigen' Firewall, außer dass auf der DS nicht alle Kernel-Module per se vorhanden sind bzw. geladen werden. Und klar ist auch, dass eine Firewall nicht alles abfangen kann, was es an 'bösen' Datenpaketen so im Netz gibt, aber es wäre ja auch nicht richtig, sie so zu positionieren. Das wäre ja so, als würde man von einem Virenscanner erwarten, dass er auch andere Malware entdeckt, die gar keine Viren wären, sondern vielleicht Würmer oder Trojaner sind. Sich also darüber zu unterhalten ist wichtig, weil man damit das ein oder andere Mißverständnis aufklären kann und eben auch ein wenig Anwendungswissen verbreitet.
Itari