debianforum.de

Hallo zusammen, ich wollte mal in die Runde fragen ob dieses alte "Standartwerk" : http://shop.oreilly.com/product/9781565928718.do heute noch brauchbar ist um die Prinzipien von Firewalls zu vermitteln? Also praktisch ist das sicher nicht mehr das neuste, ich meine da wird ipchains erklärt. Aber das Prinzip vom Aufbau von Firewalls, da sollte es noch brauchbar sein? Zusammen mit einem Büchlein über iptables, da gibt's ja auch was.

Vielen Dank zusammen

Gruss Christian

Ich würde dir eher zu einem Buch raten, was sich direkt mit nftables, den Nachfolger von iptables, beschäftigt und wo auch das Thema Dualstack (IPv4/IPv6) direkt mit behandelt wird.

Okay vielen Dank. Kannst Du das was empfehlen?

/Christian

Columbus hat geschrieben:

17.01.2020 11:01:14

Aber das Prinzip vom Aufbau von Firewalls, da sollte es noch brauchbar sein? Zusammen mit einem Büchlein über iptables, da gibt's ja auch was.

Ich denke, das, was da teilweise im Untertext beschrieben steht, gilt als Basics auch heute noch. Kurzer Auszug:

• Firewall technologies: packet filtering, proxying, network address translation, virtual private networks
• Architectures such as screening routers, dual-homed hosts, screened hosts, screened subnets, perimeter networks, internal firewalls
• Issues involved in a variety of new Internet services and protocols through a firewall Email and News

früher ipchains, dann iptables, heute nftables ... das ist ja nur der Paketfilter, jeweils zu seiner Zeit. Aber der Paketfilter allein macht ja keine Firewall aus. Deswegen stellt sich die Frage, was Deine Absichten sind, welches sind dabei die Rahmenbedingungen, was (Hardware u. Software) soll wo wie eingesetzt werden, um welches Firewall-Ziel zu erreichen?

Das Buch hat Vorteile aber auch gewaltig Nachteile.

Der Vorteil mmn ist, dass es sehr allgemein gehalten ist. Das heisst es werden Protokolle beschrieben und welche Source Ports und Destination Ports benötigt werden. Das sind Grundprinzipien die auch heutzutage noch gültig sind. Ebenso kann man dieses Wissen auf Firewalls generell anwenden. Nicht nur auf Linux.

Der Nachteil ist, dass es schlicht und ergreifend veraltet ist. Services wie telnet ( ganzes Kapitel ) und r-Services sind schlicht und ergreifend sinnlos heutzutage.

Also wenn man sich generell mit dem Thema beschäftigen möchte und noch keine Berührung mit Firewalls hatte, dann kann man sich das Buch nehmen. Es gibt aber auch gratis Alternativen die auch gut sind und etwas neuere Technologien beschreiben. Ralf Spenneberg hat hier einige Bücher zum Thema geschrieben und man kann sich diese gratis runterladen:

https://os-s.net//publications/ -> Bücher

zB Linux Firewalls 2. Auflage

HZB hat geschrieben:

22.01.2020 10:27:59

https://os-s.net//publications/ -> Bücher

zB Linux Firewalls 2. Auflage

Mmh, von nftables steht da aber nix

Bei mir geht es nicht so sehr mit iptables einen einzelnen Rechner zu schützen sondern wie man für verschiedene Szenarien wie ganze Netzwerke, Subnetze, virtuelle Netze eine Firewall aufbaut. Wenn man das ganze noch praktisch mit iptables als Beispiel darstellt ist das natürlich um so besser.

Gruss Christian

Bei einer Firewall ist der Paketfilter (egal ob iptables oder nftables) nur eine Komponente von mehreren.... soll heissen, ein Paketfilter alleine ist noch keine Firewall. Schau Dir OPNsense an, und hier ¹ die Hardwareanforderungen dazu. OPNsense ist ein (!) Schritt für eine wirksame Firewall. Der zweite wäre zu verhindern, dass berechtigte User das umgehen oder neutralisieren können. Der dritte Schritt wäre die internen Systeme vom WWW zu trennen. Der vierte Schritt konkrete Verhaltensmaßgaben für die Anwender. Da gibts noch mehr... aber bis in diese Tiefe ist das hier bei mir nicht notwendig.

¹ https://www.thomas-krenn.com/de/wiki/Ha ... n_OPNsense