hallo usr
Danke für Dein feedback.
TCP flags, div. ICMP Typen usw.
Ist richtig, außerdem noch Sequenznummern und div. andere Informationen.
Hab ich zur Vereinfachung weggelassen (gute Ausrede - gell
)
Zum stateful: den Inhalt der Pakete untersucht selbst ne billige paket filt. fw. Allerdings werden nicht die Pakete im Kontext zueinander untersucht. Es werden also nicht die Verbindungszustände erkannt und entsprechend angewand.
Hab mich unsauber ausgedrückt: Mit Inhalt meinte ich die eigentlichen zu übertragenden Daten, aber auch das ist nicht ganz exakt.
"Etwas genauer ausgedrückt: bei der filtering firewall ist auf dem Layer 4 des ISO/OSI Schichtenmodels Schicht im Schacht."
Auch bei einer stateful. So lange du keine Proxies verwendest, ist da Ende
Du hast mich erwischt: Ich habe mich wieder unsauber ausgedrückt; die Terminologie ist auch nicht ganz einheitlich:
genau genommen muss man wohl unterscheiden zwischen stateful filtering und stateful inspection.
Soweit ich weiss (allerdings ohne praktische Erfahrung diesbezüglich) gibt es auch bessere stateful inspection firewalls, die den Inhalt von Paketen bis hinauf zum Application Layer untersuchen.
Das heisst, sie schauen in die Datenpakete hinein und erkennen dann z. B. ob es sich auch wirklich um ein pop3 Paket handelt, das da über den port 110 hereinkommt.
Ziel ist es, Tunneling-Versuche zu unterbinden.
"02060 allow tcp from any to any established
> Hier kommt die erste "stateful" Analyse;
> Sie sagt: erlaube tcp-traffic in beiden Richtungen, wenn eine Paket die Eigenschaft "established" aufweist.
> einfach gesagt: erlaube Traffic, wenn die Kommunikation von innen begonnen wurde
> Beispiele wären, das abrufen von email oder Surfen im Web"
Damit wird aber auch traffic erlaubt, der von außen aufgebaut wurde.
Nein, der traffic wurde von innen begonnen (innitiiert).
Du gibst im Browser ein:
www.macuser.de .
Du sendest also eine Anfrage an den Zielport 80 eines Webserver im Internet:
schicke mir die Webseite: www.macuser.de an meinen (Quell-)port 42150 (als Beispiel)
Die Antwort auf diese Anfrage ist erlaubt , wenn Sie vom (Quell-)port 80 auf den (Ziel-)port 42150 gesendet wird und wenn das entsprechende TCP Flag (entweder SYN_ACK oder ESTABLISHED) gesetzt ist.
zu 1. Die Regel Nr. 65535 ist die default Policy, diese kann AFAIK nur durch kompilieren eines neuen Kernels bzw. der entsprechenden Extension geändert werden.
Das ist hier aber nicht gemeint, erlaubt sind noch alle Pakete, die nicht "tcp" Pakete sind.
zu 3. der Haken ist, dass man mit der GUI nur ganz stark eingeschränkt steuern kann, was erlaubt und was verboten ist.
Darüber hinaus kann man mit der GUI
kein Logging einrichten; für einzelne Regeln noch weder kann man es überhaupt aktivieren.
-------------
Das mit den Definitionen ist so eine Sache.
Ich möchte da keine Philosophie daraus machen; aber ich liefere hier noch eine weitere Definition (Quelle: RFC 2828):
"$ firewall
(I) An internetwork gateway that restricts data communication
traffic to and from one of the connected networks (the one said to
be "inside" the firewall and thus protects that network's system
resources against threats from the other network (the one that is
said to be "outside" the firewall))"
frei übersetzt:
Ein Netzwerk-Gateway, das den Datenverkehr an und von einem der angeschlossenen Netzwerke das sog. (internen Netzwerk) beschränkt und dessen Ressourcen vor Angriffen aus dem anderen (dem externen Netzwerk) schützt.