On Monday 11 May 2009, Grimnin Fridyson wrote:
Daher ein Paranoia-DROP am Ende jeder Device-Chain. Hat auch den netten Nebeneffekt dass es Protokolle abfängt von denen ich noch nix weiß (GRE, IP-in-IP, IP/Sec, SCTP, etc.pp.).
ist schon klar, und auch alles verständlich,
doch gibt es beispiele wo es dir nix hilft
*ARP *Protokolle, die nix mit IPv4/6 zu tun haben (IPX, Appletalk, etc.pp.) *RAW-Sockets
Alles nix worüber ich Schlaf verliere.
deshalb war die aussage von mir auch halb ernst gemeint es gibt beispiele wie dein erwehntes wo es hilfreich ist aber es schütz nicht gegen alle fehler die man so machen kann
Richtig, aber es schützt gegen einige der Gröberen.
(leider das währe auch zu schön, aber dann währe man als firewall admin wohl auch arbeitslos), und wenn man wirklich paranoid ist schlisst man den rechner nicht ans netz :-)
Korrekt ;-)
habe nur mal kurz gelesen was mich persönlich etwas stört ist das man auf den Gedanken kommt UDP --> TCP setzen 'nur' auf IP auf
Ich hatte keine Lust alle Einzelheiten von TCP/IP zu erklären. Daher auch die Links auf Wikipedia.
tcp/atm gibt es auch was ich sagen wollte es muss nicht immer ip sein
Ok, das habe ich mal versucht zu verifizieren: TCP over ATM ist nicht spezifiziert. Jedenfalls nicht in einem RFC. Wäre auch blödsinnig, weil die Hälfte jeder Zelle durch den TCP-Header belegt würde.
Der Modus ist üblicherweise TCP->IP->ATM oder TCP->IP->PPP/Ethernet->ATM.
nicht mehr nicht weniger,
man könnte meinen es gäbe nur tcp/ip
In meiner Welt: ja.
In der Welt der großen Glasfaserleitungsbesitzer gibt es auch noch POTS, ISDN und wesentlich mehr Link-Layer-Protokolle als ich gewillt bin zu lernen.
In der Welt der Liebhaber alter Hard-/Software gibt es auch noch Appletalk, IPX, DECNet und ein paar andere gnadenlos veraltete Protokolle, die kein modernes Netz spricht.
Meine Anleitung ist nicht für die Techniker der Telekom-Switches gedacht, sondern für normale Anwender/Admins eines Computers mit irgendeiner Form von IP-Connectivity. Ob IP über Ethernet, ATM, DSL, PPP oder Token Ring geht ist irrelevant.
Konrad