Welche Firewall, welchen mail clients?

[frodus]

Hi Leute,

ich bin gerade dabei meinen Gentoo Rechner ans Netz zu bringen und alles
zu konfigurieren.
Dabei moechte ich natuerlich nicht zur Mail schleuder werden.

Meine Idee war jetzt erstmal ein Firewall aufzusetzen, und danach meine
Mail Dienste zu konfigurieren.

Da ich allerdings noch nicht so viel Ahnung von Linux Firewalls habe wollt
ich mal fragen, welche Firewall man empfehlen kann?

Danach muss ich mich noch fuer einen mail-mta entscheiden, im moment ist bei
mir wohl ssmtp installiert aber noch nicht gestartet oder konfiguriert.
Ist der zu empfehlen oder sollte ich lieber einen anderen Dienst benutzen?
Zum empangen der Mails ist fetchmail vorgesehen und als mail klient kmail und pine.

Irgendwelche Vorschläge?

Gruss,

frodus

[dertobi123]

iptables / postfix

[Deever]

[moe]

Was willst du denn eigentlich erreichen? Zum normalen Emailverkehr brauchst du keinen MTA..

Gruss Maurice

[Deever]

Kommt drauf an, was du unter "normaler Emailverkehr" verstehst.
Auf eine UNIX-Kiste gehört ein "Programm", das Mails als 'sendmail' annimmt und mindestens sowohl lokal zustellen als auch per SMTP verschicken kann.

Gruß,
/dev

[frodus]

Hi Leute,

danke erstmal fuer die Antworten.

@moe:
Ich moechte gerne pine (Kenn ich halt von der Arbeit) benutzen, und dafuer brauche ich glaube ich einen MTA.

@Deever
Das ich mich im Moment noch nicht so gut damit auskenne ist ja egal,
ich bin bereit mich in das Tehmengebiet der Firewalls einzuarbeiten.
Ich möchte einfach nur vermeiden die falsche Wahl zu treffen.

Dass eigentlich Ziel der ganzen Aktion ist es den Rechner als Gateway fuer
2 Windows PC's zu benutzen und in der lage zu sein ueber eine ssh Verbindung die Mails in meiner Firma abzuholen und zu bearbeiten.

/frodus

[oscarwild]

Hi frodus,

Firewall (bzw. genauer gesagt "Paketfilter", aber das ist für den Anfang erst mal egal):
iptables (ist Bestandteil des Kernels, muß dort ausgewählt werden), und zur Konfiguration am besten einen grafischen Aufsatz wie "firestarter"

Mail:
wenn Du per ssh auf den Firmenrechner willst, brauchst Du keinen MTA. Der läuft ja dann bereits auf dem Firmenrechner, und du logst Dich per ssh dort ein.
_________________
http://blog.selbsthilfenetzwerk-cannabis-medizin.de

[Deever]

[oscarwild]

[Dodga]

man kann auch shorewall verwenden (recht gutes firewall konzept). Gibt es im Portage und eine gute doku auch auf http://www.shorewall.net/
Man sollte aber schon wissen wie eine Fierwall funktioniert. Dazu gibt es genug HowTo's

Zum Thema iptables mit Editor:

Sicher kann man dies alles mit Hand machen, aber wozu? 95% aller Benutzer brauchen keine Speziallösungen und die heutigen Konzepte (wie z.B.: shorewall) lösen diese 95% Konzepte ganz gut. Ausserdem Zeit is oft Geld: Es ist schwer jemanden eine Hand konfigueierte Firewall zu verkaufen wo man 5+ Stunden dran gebastelt hat (testen nicht zu vergessen) wenn ich fuer das selbe Resultat (wenn nicht sogar besser) auch nach 30 Minuten eine sehr brauchbare Lösung habe (die sich dann meistens auch noch einfacher administrieren lässt).

Dodga

PS: Um gleich ein Argument vorwegzunehmen... Wenn man keine iptables konfigurieren kann sollte man es lieber lassen (lese ich oft genug hier). Dann stelle ich hier einfach in den Raum... wenn du keine Ahnung hast wie ein Auto funktioniert (intern) sollst du dann auch das Auto fahren seien lassen? Ich finde eine firewall die für mich funktioniert ist besser als gar keine

[Deever]

[Gekko]

[oscarwild]

Also bevor das ganze hier jetzt in ein Klugscheißer-Flaming ausartet:

Lieber frodus, schau Dir die genannten Sachen mal an, und wäge für Dich selbst ab, ob Du die die Mühe machen möchtest, von Hand zu konfigurieren oder Tools zu benutzen.

Es gibt übrigens auch Hervorragende Anleitungen hier, wie z.B. den Sicherheitsleitfaden unter (http://www.gentoo.org/doc/de/gentoo-security.xml)

Einen guten Gentoo-Start wünscht
OscarWild
_________________
http://blog.selbsthilfenetzwerk-cannabis-medizin.de

[dertobi123]

Nicht zu vergessen die Überlegung, ob eine Firewall eigentlich sein _muss_ und weshalb diese genutzt werden _muss_.

[Deever]

@Gekko: Nein, ist nicht dasselbe. Seit SP2 wird bei Windous IP wohl standardmässig geschlissen sein.
Ich freu mich echt, bis der erste Wurm/Virus kommt, der den vorhandenen IP-Stack wieder repariert oder gleich nen eigenen mitbringt. Dann können die wieder von vorne mit frickeln anfangen.

@frodus: Das hier sollte dir helfen...und ist auch ziemlich gut als Referenz brauchbar.

@dertobi123: 100% ACK

Gruß,
/dev

[moe]

@Deever: Warum hast du eigentlich so eine absolute Abneigung gegen iptables-Frontends? Ich stimme ja in den meisten Sachen mit dir überein, speziell dass zu einer Firewall (in der "echten" Wortbedeutung) weit mehr als eine Paktfilterung gehört. Aber trotzdem bin ich der Meinung, dass der Otto-Normaluser der z.B. wegen NAT auf iptables angewiesen ist, wesentlich besser mit einem vorgefertigten Skript oder einer GUI fährt, als etwas von Hand zusammen zu frickeln. Bei solchen Frickel-Aktionen ist auch die Gefahr sehr viel grösser IP zu demolieren, als bei einem vorgefertigten Skript, was von mehreren 100 oder 1000 Leuten benutzt und "revisited" ist. Sicher gibts auch genügend Tools die schlicht falsche Regeln erzeugen, oder genügend Benutzer die durch Misskonfiguration ein eigentlich gutes System zum Schlechten machen, aber die Wahrscheinlichkeit dass ein selbstgestricktes Regelwerk Mist baut, ist wohl sehr viel höher[1].
""Später" ist eine der billigsten Ausreden, sich mit etwas nicht auseinanderzusetzen."
Auch dem kann ich nicht zustimmen, durch Beispiele lerne ich sehr viel schneller als durch die reine Theorie. Und selbst ein vorgefertigtes Regelwerk, was dann durch eigene Regeln angepasst/erweitert wird, sollte sauberer sein als ein komplett selbstgestricktes[1].
Ich finde, um einen Heimgebrauchs!-Router aufzusetzen muss man nicht netfilter Profi sein, es reicht wenn man etwas vorgefertigtes sinnvoll konfigurieren kann, und in der Lage ist das erzeugte Regelwerk zu "lesen" und zu verstehen, um Fehlerursachen (bestenfalls im Voraus) erkennen und beheben zu können.

Gruss Maurice

[1] bezogen auf Regeln, die von jmd. erzeugt werden der sich nicht oder noch nicht mit iptables auskennt.

[frodus]

Hi,

leute danke fuer Eure Tips und Denkanstösse ich werde sie mir zu herzen nehmen.

Ich hatte bestimmt nicht die absicht hier eine Diskussion ueber das Firewalls
und wer sie benutzen oder konfigurieren kann vom Zaun zu brechen.
Ich wollte einfach nur Wissen welche möglichkeiten es da so gibt.

Gruss,

Frodus

[nes]