Original von Gulliver
Wenn du hiermit "richtiger" firewall eine "box" meinst hast du in bezug auf die Dienste auf Firewalls natuerlich recht- gleichwohl auch einige kommerzielle BOX anbieter ebenfalls iptables implementieren.
Wieso auch nicht? iptables ist ein Paketfilter, der kann sowohl als Desktop-Firewall als auch in einer richtigen Firewall zum Einsatz kommen.
Und ich kann nahezu jeder Firewall sofern ich nur $irgendeine schnittstelle habe regeln eintrichtern..auch remote sofern sie es zualesst.
Genau deshalb hat ja auch nur der Administrator eine solche Schnittstelle. Bei einer Desktop-Firewall hat die aber zusätzlich bösartige Software und eventuell ein "Cracker", wenn ein auf der Box installierter Dienst exploitable ist. Bei einer richtigen Firewall gibt es von außen keinen Weg.
eine API ist ein boeses wort.
Seit wann denn das? Ich hoffe doch du weißt, was ein API ist? Bei ICF ist es vorgesehen, dass Anwendungen die Regeln ändern, die Schnittstelle dafür (eben Programming Interface) ist genau spezifiziert und dokumentiert.
Original von Mackz
Das ist auch nicht Sinn und Zweck der ICF.
Die ICF soll ausschließlich vor eingehenden Verbindungen schützen.
Was gleichbedeutend ist mit "sie kann weniger".
Wenn es schon möglich ist, das fragwürdige Programme auf den Rechner gelangen, deren Verbindung man blocken muss, ist es ebenso möglich, dass dieses einfach eine Funktion besitzt die dfw zu beenden / sich an ihr vorbei zu mogeln.
Korrekt. Alle Bestrebungen, Systeme abzusichern, haben das Ziel, Angriffe weiter zu erschweren. Das wird dir wohl auch jeder Profi auf dem Gebiet sagen.
=> Das Feature ist also im Prinzip sinnlos und wiegt den user wiedereinmal nur in falscher Sicherheit.
Wieder das gleiche falsche Argument wie das gegen Desktop Firewalls allgemein. Wer sich aufgrund solcher Software "sicher" fühlt ist selbst schuld bzw. hätte sich besser informieren sollen. Erstens kann das Filtern ausgehender Verbindungen durchaus Aktivitäten gewisser Spyware aufdecken, zweitens kann man mit dem Filtern ausgehender Pakete zum Teil interessante Effekte erzielen:
Code:
iptables -A OUTPUT -p tcp --tcp-flags RST RST -o ppp0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -d ! 129.13.251.69 -o ppp0 -j DROP
Wenn du das Feature nicht magst brauchst du es nicht zu nutzen, tue ich auch nicht, aber es hat seine Daseinsberechtigung und ist eben ein Punkt, den die meisten Produkte der ICF voraus haben.
(Bei der ICF in xp wurde übrigens bewusst auf diese Funktion verzichtet, eben weil dessen Nutzen höchst fragwürdig ist.)
Hmm dieser Satz klingt so ähnlich wie die Aussage "IE ist sehr fehlertolerant und stellt deshalb mehr Seiten korrekt dar". (In Wirklichkeit hat er einfach einen laxen Parser, und dass der einfacher zu implementieren ist sollte man z.B. in den formalen Sprachen gelernt haben *g*)
Greets, Ziri