War das eher das, worauf du hinaus wolltest?
Also das Thema hier heißt: "Sicherheit im Netzwerk - Routerkonfiguration". Irgendwie waren wir dann bei dedizierten Firewall und ähnlichem und ich hab versucht den Weg zur DiskStation wieder zurück zu finden ... weil es also meist keine Firewall auf dem Router gibt, würde es sich halt anbieten, die Firewall auf der DS zu verwenden, um die Sicherheit zu erhöhen. Dabei interessiert natürlich das Warum und Wie und die Diskussion in den letzten Post führt immer wieder auf eine Bedrohungslage, die irgendwie irgendwo zustande kommt, aber nichts mit der Firewall direkt zu tun zu haben scheint. Deswegen hab ich mich wie ein Manager erstmal 'doof' gestellt und gefragt, ob mir einer erklären kann, ob die Firewall (iptables) auf der DS nichts taugt (wenn ja, dann weg damit) und mich dann gefragt, ob wir überhaupt eine brauchen (also auch weg damit). Den 'ping of death' fängt wahrscheinlich die Minifirewall des Routers ab (die meisten Billigrouter, die ich kenne) preisen das ja an. Klar ist mir auch, was 'iptables' so kann und was nicht und dass es auf der Anwendungsebene (z.B. SQL Injektions) noch eine Menge zu tun gibt.
Was ich gerne hätte, wäre eine Einschätzung der Bedrohungslage auf der Ebene, auf der konkret die Firewall einer DS etwas tun kann und das gerne mal an einem Beispiel erläutert. Dies sollte uns doch gelingen. Wenn es wirklich zu kompliziert wird, dann macht eine Firewall auf der DS keinen Sinn. Man kann zwar etwas konfigurieren und fest daran glauben, dass die auch 'Sinn' macht, aber wenn hier gesagt wird, Ätsch, verstehste eh nicht, ist zu kompliziert, dann ist der 'Sinn' in meinen Augen weg und man muss erst gar nicht damit anfangen. Nochmal, wenn es interessant sein soll für die Leser hier, dann muss es sich auf die Gegebenheiten einer DiskStation beziehen und nicht auf RZ-Problematiken. Und über eines müssen uns alle im Klaren sein: auf einer DS läuft genauso wie im RZ ein Linux, die Serverprogramme sind dieselben, die Techniken und Tools sind die gleiche und die Problematik ist eine sehr ähnliche ... wir hängen am Internet. Vielleicht sind die Versionsstände nicht die gleichen, aber ich denke, dass tut nicht wirklich was zur Sache.
Ich sehe natürlich auch und respektiere jeden hier, der sich Mühe macht, etwas Licht ins Dunkle zu bringen. Deswegen auch meine Dank dafür (es könnte ja sein, dass ihr das Gefühl habt, ich will nur mosern *gg*), denn ich weiß, dass es nicht immer einfach ist, etwas, was doch offensichtlich klar ist, so zu erläutern, dass man sich auch wirklich etwas darunter vorstellen kann ... und darum, nur darum geht es mir hier. Wie heißt es so schön: Sicherheit fängt im Kopf an ...
Itari
