Zitat:
|
Zitat von RUN und was ist wenn man einfach vergessen hat einen dienst zu deaktivieren?
fehler schleichen sich schnell ein. ein block all in der firewall ist sicherer als jeden dienst einzeln zu deaktivieren... und manchmal will man ein paar dienste nicht deaktivieren (falls der router vielleicht noch n fileserver o.ä ist).
und mit ner firewall kannst du nicht nur traffic vom wan ins lan filtern/überwachen sondern auch andersrum...
manche firewalls beherschen auch traffic shaping bzw. queuing. |
ich glaube wir reden aneinenader vorbei
wenn du einen router hast, der wirklich nur router und nix anderes ist und der über nat läuft, dann fungiert der quasi wie eine firewall. denn eingehende verbindungen, die nicht der NAT-tabelle als angefordert eingeordnet werden können, also quasi jede von außen initialisierte verbindung, wird von einem solchen router nicht angenommen. also sozusagen wie eine firewall, die alle eingehenden verbindungen blockt.
wenn du jetzt eine dahinterhängende firewall hast, hat diese eh nichts zu tun, ist also überflüssig.
was du nun sagtes mit dem "ein block an der firewall wäre sicherer". wenn die firewall auf einem anderen rechner ablaufen würde, du auf dem router aber dienste zur verfügung stellst, wird die firewall auf dem anderen rechner, sicher nicht nicht die verbindungen des ihm vorrangestellten routers filtern.
ich wollte damit wirklich nur die unsinnigkeit einer firewall HINTER einem (reinen) router andeuten.
der rest den du ansprichst bezieht sich alles darauf, daß die firewall auf dem router ist. und genau das halte ich ja für sinnvoll. so habe ich das ja auch laufen. meine policy net2fw ist auch block, in den ausnahmen sind dann die verschiedenen dienste auf accept gesetzt.
aber diese firewall ist wirklich nur da, damit der router selber nicht kompromitiert wird.