Re: [ISA 2004] transparenter Proxy

From: Thomas Wildgruber (goto_devnull_at_web.de)
Date: 02/23/05

Next message: Norman Schmiedt: "Kanalbündelung 2x DSL -- upstream --"
Previous message: Jens Baier: "Re: VPN Berechtigungen fÃ¼r Datei und Drucker Freigaben"
In reply to: Kai Wilke [MVP]: "Re: [ISA 2004] transparenter Proxy"
Next in thread: Jens Baier: "Re: [ISA 2004] transparenter Proxy"
Messages sorted by: [ date ] [ thread ]

Date: Wed, 23 Feb 2005 18:36:27 +0100

On Wed, 23 Feb 2005 16:36:38 +0100, Kai Wilke [MVP] wrote:

> Ohh, du solltest mal ne neuen Kernel Version ausprobieren und NETFILTER
> anstelle von IPCHAINS verwenden. Das Filtern auf TCP Flags war bei IPCHAINS
> noch notwendig (war jedoch ein Sicherheitsproblem) da die Paketfilter noch
> keine Steful Packet Inspection (SPI) unterstützte. Bei NETFILTER und jeder
> anderen FW auch würde die Firewallengine die Anfragen und Antworten zu einer
> Sitzung zusammenfassen. Hierbei wird automatisch sichergestellt das sich
> keinerlei Pakete "ohne" vernünftigen 3-Wege handshake vorher durchlaufen zu
> haben durch die FW mogelt.

Yep, meine Kenntnisse in dieser Beziehung sind recht antiquiert und ein
/normaler/ Admin eines Kleinunternehmens kommt auch nicht alle Tage damit
in Berührung -> Schade eigentlich, deshalb freu ich mich auf den ISA
eigentlich schon ;-)

> [...]Überprüfen kannst du
> die Sache indem du ein Portscanner verwendest und deinen absender Port auf
> bestimmte Lowport begrenzt. (z.B. UDP53 oder TCP80)

Da gibts auch böse Überraschungen. Ich habe einen Portscanner auf das
externe Interface des ISA losgelassen und dieser zeigte mir Port 25 und 110
als geöffnet an, was gar nicht stimmen kann, da ich bislang nur HTTP(S),
FTP und DNS als Regel definiert habe. Ein zweiter Portscanner jedoch konnte
die Aussage des ersten nicht bestätigen. Hier wurde kein /geöffneter/ Port
gefunden -> was ich auch erwartet hatte...

Bye Tom

-- 
"I'm honored to shake the hand of a brave Iraqi citizen who had his hand
cut off by Saddam Hussein." George W. Bush - Washington, D.C., May 25, 2004
Source: http://slate.msn.com/id/76886/

Next message: Norman Schmiedt: "Kanalbündelung 2x DSL -- upstream --"
Previous message: Jens Baier: "Re: VPN Berechtigungen fÃ¼r Datei und Drucker Freigaben"
In reply to: Kai Wilke [MVP]: "Re: [ISA 2004] transparenter Proxy"
Next in thread: Jens Baier: "Re: [ISA 2004] transparenter Proxy"
Messages sorted by: [ date ] [ thread ]

Relevant Pages

Re: iptables firewall script for linux
... "ipchains: Incompatible with this kernel". ... port is shown as LISTENING. ... What's wrong with reading the HOWTOs? ... included for their basic firewall concepts. ...
(comp.security.firewalls)
Re: Ipchains and smtp rule
... Subject: Ipchains and smtp rule ... If the client's IDENT port is silently ... the whole mess was due to a missing switch on the dmz. ... With C++ it's harder, but if you succed, you'll shoot off the whole leg. ...
(Focus-Linux)
Re: Aussage von AVM zu offenen Ports der FritzBox
... durch Haluksche Schwarzlochfilter blockierten Port zu unterscheiden. ... Einzig Paketfilter, die auf UDP Pakete an blockierte Ports mit einem ... die ein Portscanner an einen in der Firewall der ...
(de.comp.security.firewall)
Re: Coyote IP Chains?
... > Using Sygate's online scanner it seems that Coyote Linux allows external ... > Sygate still is indicating the port is open which leads me to believe I ... Try this ruleset instead (my ipchains syntax might be a little off ... familiarize yourself with nmap; ...
(comp.os.linux.security)
Re: Aussage von AVM zu offenen Ports der FritzBox
... Ich habe eine FritzBox von AVM, einmal Modell 2070, einmal Modell 5050. ... Nun habe ich verschiedene Portscanner laufen lassen, ... Port machen, wenn der gescante Rechner eine Antwort ...
(de.comp.security.firewall)