1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Freiwillige…

Leider kein Tiny-FireWall-2-Projekt :-(

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Siga 28.01.09 - 12:45

    Es gab mal (und gibt noch bei Download-Sites von Verlagen wie Chip u.ä.) Tiny Firewall (iirc hiess das so). War nervig weil es 3 Fenster brauchte was man auch in einem Fenster hätte fragen können:
    - app
    - ip (evtl auch hostname, evtl aber auch nicht)
    - port (oder ports)
    - weiteres
    ja/nein und passend setzen. Es gibt/gab ähnliche Projekte. Sowas muss aber einfach zu nutzen sein.

    Wurde aufgekauft und nicht weitergeführt. So wie dodgeball und viele andere Projekte (SVG=gut bei Adobe durch Flash=Crap ersetzt ist das Gegenteil). Gut für die Gründer, schlecht für die Nutzer :-(

    Ich will nicht das mein Rechner (Windows XP) ivw-Pixel und anderen Schrott lädt. Wenn ich inexExplorer etwas erlaube, darf der gleich überall hin connecten. Da habe ich keine lust mehr drauf und ich will was einfaches was jeder benutzt. [1]
    Also per router/dns/resolver irgendwie kontrolle (und auch übersichten) reinbringen. Also im prinzip eine moderne form der tiny-firewall.

    Nur der kleine DNS von FLi4l kann z.b. ivwpixel.** sperren also Globs für Hostnamen. /etc/hosts (resolver) kann das leider nicht.

    Man müsste das routing von xp auf eine blackbox umlenken, die den Filter implementiert (z.b. colinux oder hypervisor-irgendwas) und dann erst rausgeht.
    Und beides ist wichtig: hostnamen und ip-connections. Meist gehts nur um eines. Ich will ivwpixel.ip-ist-1.2.3.4.ivwStasi.de gar nicht nicht erst auflösen!
    Ich will ein Log/Counter der angefragten hostnamen und diese erst nach Freigabe resolven (und merken für nameserver-ausfälle) und kicken ("ivw" oder halt anderen stuss. Dafür müssen resolver/http-proxy (was will er überhaupt von a.golem.de holen, javascripte oder gifs oder werbung) filter usw. alle zusammenarbeiten. und ipchains oder wie das in der aktuellen version heisst, bin ich zu faul für. Ist im nächsten kernel ja sicher wieder was neues (das war Sarkasmus).

    [1] Ich will auch einen superproxy der bestimmte urls hält (opera ist da unschlau und löscht golem-bilder nach einer weile :-( weil er kein zweistufiges cache-konzept hat) und andere rewrited und halt 1x1 für Werbung liefert(opera ist da unschlau und schrinkt nicht angezeigte bilder nicht auf 1x1 pixel was die seiten kompakter machen würde so das man weniger scrollern muss und text(=content) mehr platz hätte.
    ad-flitzer(opera-glob-Listen mit WerbeServern) und Proxomitron nutze ich. Proxomitron hat aber auch seine Macken bzw. ist mühselig einzuarbeiten und unhandlich (finde ich) wenn man etwas anderes als die mitgelieferten Listen machen will.
    Nur muss man proxies in der Software normalerweise eintragen und das will ich natürlich nicht sondern auch der böse inet-Ex oder Windows-Update oder Adobe-Autostarter oder DivXUpdateChecker,... müssen sich dem Proxy unterwerfen ohne das ich das einzeln einstellen muss.
    Und wenn man schon einer Software was erlaubt, dann nur bestimmte Hosts und nicht Wahllosen zugriff auf alles. Und keine wahllosen host-namens-auflösungen. oder svchost. Schaut mal mit sysinternals (kostenlos, jetzt M$) mit tcpview (oder netstat in der commandline) was alles so connected und wo auch immer hin.

  2. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Flying Circus 28.01.09 - 14:42

    Siga schrieb:
    -------------------------------------------------------
    > Es gab mal (und gibt noch bei Download-Sites von
    > Verlagen wie Chip u.ä.) Tiny Firewall (iirc hiess
    > das so).

    Was nützt Dir das gegen Vorratsdatenspeicherung? Nichts.

    > Sowas muss aber einfach zu nutzen sein.

    Geht nicht. Man braucht zu viel Hintergrundwissen dafür. Woher soll meine Tante wissen, was der Prozess XY unter Windows tut und warum der ins Internet verbinden möchte?

    > Also per router/dns/resolver irgendwie kontrolle
    > (und auch übersichten) reinbringen. Also im
    > prinzip eine moderne form der tiny-firewall.

    Filterndes Gateway. Garantiert nicht für Endanwender geeignet.

    > Man müsste das routing von xp auf eine blackbox
    > umlenken, die den Filter implementiert (z.b.
    > colinux oder hypervisor-irgendwas) und dann erst
    > rausgeht.

    Und wer bestimmt dann, was wie gefiltert wird? Weils ne blackbox ist?

    > Und beides ist wichtig: hostnamen und
    > ip-connections. Meist gehts nur um eines. Ich will
    > ivwpixel.ip-ist-1.2.3.4.ivwStasi.de gar nicht
    > nicht erst auflösen!

    Wenn der Staat möchte, daß Du bespitzelt wirst, dann wird der Mist eben fest verdrahtet. Macht Microsoft z.B. für einige seiner IPs.

    > Ich will ein Log/Counter der angefragten hostnamen
    > und diese erst nach Freigabe resolven (und merken
    > für nameserver-ausfälle) und kicken ("ivw" oder
    > halt anderen stuss.

    Gute Idee. Der DoS am HeimPC wird wahr. Einfach eine kleine Software auf den Rechner schmuggeln, die tausende Anfragen lostritt. Viel Spaß beim Wegklicken.

    > Dafür müssen resolver/http-proxy (was will er überhaupt von
    > a.golem.de holen

    Das kann kein normaler Benutzer entscheiden.

    > javascripte oder gifs oder
    > werbung) filter usw. alle zusammenarbeiten. und
    > ipchains oder wie das in der aktuellen version
    > heisst

    iptables. Das filtert Pakete.

    >, bin ich zu faul für. Ist im nächsten
    > kernel ja sicher wieder was neues (das war
    > Sarkasmus).

    War es nicht. Sarkasmus ist was anderes.

    > Und wenn man schon einer Software was erlaubt,
    > dann nur bestimmte Hosts und nicht Wahllosen
    > zugriff auf alles. Und keine wahllosen
    > host-namens-auflösungen. oder svchost. Schaut mal
    > mit sysinternals (kostenlos, jetzt M$) mit tcpview
    > (oder netstat in der commandline) was alles so
    > connected und wo auch immer hin.

    Und damit ist der normale Anwender hoffnungslos überfordert. Und nicht nur der. Whitelisting funktioniert vielleicht für Unternehmen mit viel freien Kapazitäten. Für den Privatanwender auf keinen Fall. Es sei denn, er bekommt die Whitelist vorgegeben. Und das ist eine gaaanz tolle Idee. Ehrlich. Da reibt sich unser Bundesminister für Inneres, Herr Dr. Wolfgang Schäuble, schon die Hände bei dem Gedanken.

    Übrigens hat all das von Dir geschilderte nichts mit dem Problem der Datenspeicherung seitens des ISP zu tun. Da hülfe nur ein verschlüsselter Tunnel zu einem Proxy im Ausland, von dem aus Du dann anonymisiert weitersurfst.

  3. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Siga 28.01.09 - 16:09

    Die RUssen werden sicher gegen Geld proxies auf PricaPCs die nix davon wissen anbieten.

    Man muss nix wegklicken. Sei mal angesichts Deines Wissens konstruktiver. Es ist nix für Normalos. Aber für Leute die lernen wollen und zu 99% kann die verbindung ja geschlossen bleiben (default) bzw. der hostname nicht aufgelöst werden (auch default). Und proxomitron liefert fehlerseiten. Kann die konfigurierbare "blackbox" ja auch mal machen. Wenn ich auf update bei VirusChecker klicke und keine connection kriege, kann das tray-icon ja rot blinken und ich denke mir "hey, lass mal die blackbox checkern" und da wird avira oder sonstwer dann freigeschaltet.

    Es geht erstmal darum, das man überhaupt entscheiden kann, wohin der Rechner connectet. gegen vds hilft das nicht, aber man kann ja erstmal schmalbandig Seiten nutzen/Geringen Footprint betreiben.

    Auch möchte man vielleicht behindern, das Nero123 Updates zieht, wenn z.B. Nero123 für illegal erklärt wird und man unter windows95 keine andere version laufen lassen kann und dann dafür von der Music-And-Films-Industry-Association auf ewig abgeholt wird oder zillionen Abmahnkosten latzen soll. Wir haben uns mit dem fiktiven Beispiel klar verstanden hoffe ich denn klar kommunizieren ist in Deutschland leider verboten. oder winamp wird verboten weil es skins nutzt, die entfernt an itunes erinnern und jeder der diesen Skin nutzen könnte, pauschal abgeholt/abgemahnt wird.

    Oder die Lotto-Mafia (siehe Oma mit Abzocke vor ein paar Tagen) oder die 39-Euro-Monats-Abo-Server Connections vom eigenen Rechner aus erzeugen (TrojnerMails o.ä.) um sich angeblich anzumelden und der Provider das dann natürlich zugunsten der 39Euro-Firma bestätigen kann dank der "freiwilligen" VDS. "Danke Provider".

    Man muss also total kontrollieren können, was der eigene Rechner macht und wohin er connected/welche name-auflösung er betreibt (du rufst ja auch nicht in der Vermittlung/TelefonAuskunft an und fragst nach der HandyNummer von BinLaden). Die Gründe sind natürlich ziemlich traurig und kein Ende absehbar.

  4. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: nemesis 28.01.09 - 19:53

    Tiny Firewall gibts schon sehr lange nicht mehr.

    Was man machen kann ist z.B. Privoxy in Verbindung mit Squid als Cache. Damit alle PCs in einem LAN einen solchen Server nutzten, gibt es die Möglichkeit einen Linux/BSD Rechner als transparente Bridge zu benutzten. Jeder Traffic läuft über diesen einen Server, und kann ggf. Filtern/Cachen.

  5. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Siga 28.01.09 - 21:16

    Ja. Fli4L z.B. Aber der connected mir nicht mehr zu Eplus und die ChatPap/...Scripte unter WIndows und Linux vergleichen bin ich zu faul und gehe direkt übers Handy per XP ins Netz.
    Und der Nameserver ist nicht schlau genug für meine Zwecke denke ich. Aber er kann wenigstens wildcards, was ich bisher aber nicht genutzt habe. Alles Arbeit die man dann shären könnte/sollte. Eigentlich will ich aber kein Admin lernen und wer widerspricht soll vorher erst mal 10 Jahre lang sein Auto selber schweissen/reparieren und alles was die Hausfrau so braucht (Kühlschrank, Waschmaschine, Spülmaschine,...). Dann legt sich das.

    CoLinux ist nett und flutscht gut (nicht die Commandline, mit putty o.ä. geht man ernsthaft drauf, für LAMP u.ä. ist das super, pro Kunde ein Image mit den entsprechenden SoftwareVersionen, direkt vorführbar ohne internet usw). Sowas als Router/Bridge/... eintragen und dort filtern/cachen.

  6. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: nemesis 29.01.09 - 08:16

    Siga schrieb:
    -------------------------------------------------------
    > Ja. Fli4L z.B. Aber der connected mir nicht mehr
    > zu Eplus und die ChatPap/...Scripte unter WIndows
    > und Linux vergleichen bin ich zu faul und gehe
    > direkt übers Handy per XP ins Netz.
    Zumindest Ubuntu 8.10 hat einige Einstellungen für UMTS bzw. EDGE, ggf. kannst du ja jemanden fragen, ob man diese nicht auch für Fli4l übernehmen könnte. Ich verwende selber einen UMTS-Router - 5 Euro Versandkosten mit Vertrag - und da macht sich Privoxy auf den Clients sehr gut um Bandbreite beim Surfen einzusparen.
    > Und der Nameserver ist nicht schlau genug für
    > meine Zwecke denke ich. Aber er kann wenigstens
    > wildcards, was ich bisher aber nicht genutzt habe.
    > Alles Arbeit die man dann shären könnte/sollte.
    Privoxy filtert entsprechende Werbungen, wenn es das ist, was du brauchst.

    > CoLinux ist nett und flutscht gut (nicht die
    > Commandline, mit putty o.ä. geht man ernsthaft
    > drauf, für LAMP u.ä. ist das super, pro Kunde ein
    > Image mit den entsprechenden SoftwareVersionen,
    > direkt vorführbar ohne internet usw). Sowas als
    > Router/Bridge/... eintragen und dort filtern/cachen.
    Kenne CoLinux jetzt nicht, aber eine transparente Bridge/Router ist in der Regel ein Rechner mit zwei Netzwerkkarten, der für die Clients normal nicht sichtbar im Netz zwischen Ihnen und dem Rest des Netzwerks/Internets hängt.
    In deinem Falle eher als Router mit einer Netzwerkkarte fürs LAN und Handy per USB fürs Internet.


  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systems Architect / DevOps Engineer (w/m/d)
    Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
  2. IT Support and infrastructure specialist (m/w/d)
    Ludwig Frischhut GmbH & Co. KG, Pfarrkirchen
  3. Project Manager (w/m/d)
    Matrix42 AG, deutschlandweit
  4. Applikationsspezialist Partner-Support (m/w/d)
    medavis GmbH, Karlsruhe

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de