Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.security.firewall > #253

Re: S: Empfehlungen f. iSCSI

From Jens Hektor <hektor@rz.rwth-aachen.de>
Newsgroups de.comp.security.firewall
Subject Re: S: Empfehlungen f. iSCSI
Date 2022-10-27 19:43 +0200
Message-ID <jrvua1Fer6oU2@mid.dfncis.de> (permalink)
References <a7b756d1-4c5f-f634-e283-69a5b24f4f20@alexander-goetzenstein.my-fqdn.de>

Show all headers | View raw

Am 08.10.22 um 13:20 schrieb Alexander Goetzenstein:
> Da ich bislang noch nie eine Firewall konfiguriert habe, möchte ich bei

herzlich willkommen. An dem Punkt waren hier alle mal.

> meinen ersten Schritten möglichst so vorgehen, dass es nicht nur
> irgendwie funktioniert, sondern dass auch ein Anderer sich auf Anhieb
> zurechtfindet, also möglichst geschriebene und ungeschriebene Standards
> verwenden.

Guter Ansatz.

> Auf den ersten Blick könnte ich einfach die Zone 'block' der
> Eth-Schnittstelle zuweisen und in der Zone 'block' den Dienst
> iscsi-target erlauben. Alternativ könnte ich die ports 3260/TCP und
> 3260/UDP freigeben. Zwei Dinge lassen mich zweifeln:
> 
> 1.: "block" klingt nach "alles bleibt zu"; man würde vielleicht nicht
> erwarten, dass darin etwas freigegeben ist. Wäre eine andere Zone besser
> geeignet? Oder sollte ich eine neue Zone dafür anlegen, und falls ja:
> wie zu benennen?

Man sollte auf jeden Fall noch ICMP zulassen.

> 2.: Sollte vorzugsweise der Dienst oder die Ports freigegeben werden,
> oder beides?

Nun ja. "Dienste" ist eine Abstraktionsschicht.
Letztendlich filtern Paketfilter immer auf Layer-3/4.

Für genaueres müsste man das Anwendungsszenario und die Konfiguration
des Restes der Maschine berücksichtigen.

Back to de.comp.security.firewall | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

S: Empfehlungen f. iSCSI Alexander Goetzenstein <alexander_goetzenstein@web.de> - 2022-10-08 13:20 +0200
  Re: S: Empfehlungen f. iSCSI Jens Hektor <hektor@rz.rwth-aachen.de> - 2022-10-27 19:43 +0200
    Re: S: Empfehlungen f. iSCSI Marco Moock <mo01@posteo.de> - 2022-10-27 19:59 +0200
    Re: S: Empfehlungen f. iSCSI Alexander Goetzenstein <alexander_goetzenstein@web.de> - 2022-10-28 15:43 +0200
      Re: S: Empfehlungen f. iSCSI Marco Moock <mo01@posteo.de> - 2022-10-28 15:52 +0200
  Re: S: Empfehlungen f. iSCSI Kay Martinen <usenet@martinen.de> - 2022-10-27 21:01 +0200
    Re: S: Empfehlungen f. iSCSI Alexander Goetzenstein <alexander_goetzenstein@web.de> - 2022-10-28 15:37 +0200

csiph-web