elektrozwiebel
Member
Kann ich entweder den telnetd-Server oder die Firewall unter SuSE 10.0 so konfigurieren, dass ein Telnetlogin nur über das Interface ippp0 möglich ist?
Telnet auf ippp0 beschränken?
- Ersteller elektrozwiebel
- Erstellt am
- Status
AW: Telnet auf ippp0 beschränken?
Firewall geht sicher.
Einfach den Telnet-Dienst nur der Zone zuordnen, in der sich das Interface ippp0 befindet (externe Zone würde ich vermuten) und nur dieses eine Interface auch in die entsprechende Zone setzen.
Warum man den Login allerdings nur auf "von außen" beschränken will, ist mir schleierhaft, umgekehrt würde ich ja verstehen.
Außerdem bietet die SuSEfirwall2 die Möglichkeit, die Firewall von Zugriffen aus dem LAN abzuschirmen.
Yast => Sicherheit und Benutzer => Firewall.
bzw.
Yast => System => /etc/sysconfig-Editor und ein wenig suchen. Dort kann man auch noch sehr viel fein einstellen.
Ob es allerdings eine gute Idee ist, das absolut unsichere telnet nach draussen offen zu haben, ist ein anderes Thema.
Wenn nichts dagegen spricht, dann würde ich unbedingt auf SSH setzen.
Greetz,
RM
Firewall geht sicher.
Einfach den Telnet-Dienst nur der Zone zuordnen, in der sich das Interface ippp0 befindet (externe Zone würde ich vermuten) und nur dieses eine Interface auch in die entsprechende Zone setzen.
Warum man den Login allerdings nur auf "von außen" beschränken will, ist mir schleierhaft, umgekehrt würde ich ja verstehen.
Außerdem bietet die SuSEfirwall2 die Möglichkeit, die Firewall von Zugriffen aus dem LAN abzuschirmen.
Yast => Sicherheit und Benutzer => Firewall.
bzw.
Yast => System => /etc/sysconfig-Editor und ein wenig suchen. Dort kann man auch noch sehr viel fein einstellen.
Ob es allerdings eine gute Idee ist, das absolut unsichere telnet nach draussen offen zu haben, ist ein anderes Thema.
Wenn nichts dagegen spricht, dann würde ich unbedingt auf SSH setzen.
Greetz,
RM
elektrozwiebel
Member
AW: Telnet auf ippp0 beschränken?
Telnet ist nur für den Notfall über ISDN gedacht. Normalerweise erfolgt der Login von außen auch über SSH. Deshalb ist in der externen Zone auch das Ethernetinterface, ich kann also nicht einfach das ippp0 als einziges Interface in die externe Zone setzen.
Telnet ist nur für den Notfall über ISDN gedacht. Normalerweise erfolgt der Login von außen auch über SSH. Deshalb ist in der externen Zone auch das Ethernetinterface, ich kann also nicht einfach das ippp0 als einziges Interface in die externe Zone setzen.
AW: Telnet auf ippp0 beschränken?
OK, ich versuchs nochmal.
Dein wirkliches Problem liegt an anderer Stelle. Versuche Deinen Konstrukt mal sicherheitskritisch zu durchleuchten und dann merkst Du hoffentlich, wie hanebüchen alleine schon die Idee ist.
Kleiner Tipp:
Eine Notlösung soll ja dann noch funktionieren, wenn z.B. der normale Remote-Zgang via SSH über ethX nicht mehr geht.
=> Der Zugang via Telnet und ippp0 muß IMMER vorhanden sein, denn wenn kein Zugang über ethX besteht, dann kann man ja das ippp0 auch nicht mehr remote hochfahren, logisch, oder?
=> Die Kiste ist immer per telnet von aussen erreichbar, da ippp0 ein externes Interface ist, und so wie ich das verstehe, auch von "ganz draussen", also auch übers WWW.
OK, so gesehen hat da sicher einen netten Effekt, die Anzahl der Zugriffsversuche auf SSH werden drastisch abnehmen, weil wer versucht schon durch ne Panzertür einzudringen, wenn das Fenster nebenan sperrangelweit offen steht.
Klingelts so langsam?
Wenn Du schon einen Zugang über ISDN willst, wieso dann nicht auch darauf SSH erlauben? Schließlich legst Du über die externe Zone fest, auf welchen Ports die Firewall Pakete durchlässt.
Und selbst, wenn das nicht gehen sollte, diese Notlösung hat ihren Namen echt verdient, denn sie sorgt sicherlich für einiges an NOT.
BTW:
Geht dieses eth0 eigentlich über DSL oder Standleitung ins WWW?
Greetz,
RM
OK, ich versuchs nochmal.
Dein wirkliches Problem liegt an anderer Stelle. Versuche Deinen Konstrukt mal sicherheitskritisch zu durchleuchten und dann merkst Du hoffentlich, wie hanebüchen alleine schon die Idee ist.
Kleiner Tipp:
Eine Notlösung soll ja dann noch funktionieren, wenn z.B. der normale Remote-Zgang via SSH über ethX nicht mehr geht.
=> Der Zugang via Telnet und ippp0 muß IMMER vorhanden sein, denn wenn kein Zugang über ethX besteht, dann kann man ja das ippp0 auch nicht mehr remote hochfahren, logisch, oder?
=> Die Kiste ist immer per telnet von aussen erreichbar, da ippp0 ein externes Interface ist, und so wie ich das verstehe, auch von "ganz draussen", also auch übers WWW.
OK, so gesehen hat da sicher einen netten Effekt, die Anzahl der Zugriffsversuche auf SSH werden drastisch abnehmen, weil wer versucht schon durch ne Panzertür einzudringen, wenn das Fenster nebenan sperrangelweit offen steht.
Klingelts so langsam?
Wenn Du schon einen Zugang über ISDN willst, wieso dann nicht auch darauf SSH erlauben? Schließlich legst Du über die externe Zone fest, auf welchen Ports die Firewall Pakete durchlässt.
Und selbst, wenn das nicht gehen sollte, diese Notlösung hat ihren Namen echt verdient, denn sie sorgt sicherlich für einiges an NOT.
BTW:
Geht dieses eth0 eigentlich über DSL oder Standleitung ins WWW?
Greetz,
RM
- Status