[BlueChris17]

Hi Leute

Ich habe heute so eine Idee gehabt. Zu meiner idee das ich ja weiss das eine Software Firewall BÖSE ist und eine hardware-firewall geld kostet. habe ich mir gedacht das ich mit vmware ipcop emuliere und so mir die Hardware-Firewall spare.

Jetzt wollte ich wissen was ihr von der idee haltet.


Gruß
BlueChris17

[BadAss]

Naja, wenn Du dir VMWare leisten kannst, sollte es dir die ~30€ für eine Hardware-Firewall auch wert sein...

[puppet]

Zitat (BadAss: 23.10.2005, 01:19)

sollte es dir die ~30€ für eine Hardware-Firewall auch wert sein...

Ja genau, die hat dann NAT/PAT und SPI
Und er muss ja nicht VMware verwenden, wobei das ja kein Problem ist. Er kann die VM ja mit der Eval-Version erstellen und dann einfach den kostenlosen VMware Player benutzen.

@BlueChris17: Die Idee ist nur bedingt sinnvoll, da die Datenpakete ja erstmal das Hostsystem passieren müssen um die VM zu erreichen. Dazu gab es hier auch schon ein paar Threads, aber offensichtlich hast du die Suchfunktion nicht benutzt.

[BachManiac]

wenn du das simulierst, hast du auch keine echte hardware-firewall, ergo, die selben probleme.

[DerXero]

ich habe den IPCop auf meinem Server in einer Vituellen Maschiene (UML) laufen... läuft prima bis auf, dass ich mich nicht anmelden kann es ist zwar nich hundertprozentig Sicher, aber doch Sicherer als ne Personal Firewall oder einfach IP Tables unter Linux.

[Graumagier]

DerXero sagte:

es ist zwar nich hundertprozentig Sicher, aber doch Sicherer als ne Personal Firewall oder einfach IP Tables unter Linux.

Als ersteres ja, als letzteres mit Sicherheit nicht. Immerhin ist iptables darauf ausgelegt, Traffic zu filtern bevor andere Komponenten des OS damit in Berührung kommen, was bei IPCop in UML ganz klar nicht der Fall ist. Das ist ja auch die größte Schwäche des Systems.

[shiversc]

ich kann die ipcopler immer mehr verstehen, wenn sie pauschal alles an un-ip-cop sachen ablehnen. erschreckend wie viel leute sich bereits gefunden haben, um den cop zu vergewaltigen. traurig...

[Graumagier]

Wenn die c't den Leuten mal wieder Flausen in den Kopf setzt ...

Dieser Beitrag wurde von Graumagier bearbeitet: 23. Oktober 2005 - 10:11

[puppet]

Zitat (Graumagier: 23.10.2005, 10:44)

Immerhin ist iptables darauf ausgelegt, Traffic zu filtern bevor andere Komponenten des OS damit in Berührung kommen

Was man ja mit libpcap wunderbar "umgehen" kann - siehe silentdoor.

[Graumagier]

puppet sagte:

Was man ja mit libpcap wunderbar "umgehen" kann - siehe silentdoor.

Darüber, dass clientseitige Filterung selten ordentlich funktioniert, brauchen wir uns ja nicht zu streiten - darüber, dass iptables schon prinzipbedingt besser funktioniert als VM-IPCop aber wohl auch nicht.

Dieser Beitrag wurde von Graumagier bearbeitet: 23. Oktober 2005 - 10:35

[Tarnatos]

Wie wäre es denn einfach damit: http://wipfw.sourceforge.net/ ?!

Zitat

What is WIPFW?

WIPFW is a MS Windows operable version of well-known IPFW1 for FreeBSD OS. You can use the same functionality and configure it as only you work with IPFW.

IPFW is a packet filtering and accounting system which resides in the kernelmode, and has a user-land control utility, ipfw. Together, they allow you to define and query the rules used by the kernel in its routing decisions.

There are two related parts to ipfw. The firewall section performs packet filtering. There is also an IP accounting section which tracks usage of the router, based on rules similar to those used in the firewall section. This allows the administrator to monitor how much traffic the router is getting from a certain machine, or how much WWW traffic it is forwarding, for example.

As a result of the way that ipfw is designed, you can use ipfw on non-router machines to perform packet filtering on incoming and outgoing connections. This is a special case of the more general use of ipfw, and the same commands and techniques should be used in this situation.