Habe ich noch nicht getestet. Auf vielen Testservern läuft meistens nicht nur ein Webserver sondern auch mindestens ein Datenbankserver wenn nicht noch andere Server Dienste. Da ist die Firewall die einfachste Möglichkeit um Zugriffe von aussen zu verhindern.

Richtig Philipp, oder man gibt ihm einfach eine 192 oder 10.x... als IP, dann geht von aussen auch nichts.

Sloter

Klar, aber
 

ich wollte halt einfach nur wissen ob das mit xinetd auch hinhaut. Überleg mir nämlich grade für unseren Server mittels xinetd den SSH Zugriff nur auf die 3 berechtigten IP's einzuschränken.

Aber ihr habt schon recht, für den Apache, MySQL und ähnliches ist es ein Firewall sicher der beste Weg.

xinetd kann alle dienste konfigurieren, die per (x)ineted gestartet werden -- das sind tcp dienste, meist aber weder apache noch samba noch ssh.

sollten die dienste libwrap verwenden (wie openssh) dann koennen sie ebenfalls in hosts.allow / hosts.deny konfiguriert werden.

der tcp wrapper und die (x)inetd services sind ebenso wie ein ip binding mindestens ebenso sicher wie eine firewall; das ip binding oder besser noch ein interface binding (samba) ist sogar sicherer.

na ja, fuer eine richtige firewall sollte ein eigener rechner verantwortlich sein, damit bei einem richtigen gelungenen angriff nicht gleich alles verloren ist!

apropos loggen: eine loggende firewall ist absolut anfaellig fuer DoS attacken! firewalls sollten nur im testmodues beims etup loggen, sonst nicht!

man kann die firewall aber mittels tftp auf einen anderen rechner über netz loggen lassen, dann fällt die möglichkeit, dass die platte voll wird weg.... :D so wie man das ja mit cisco geräten auch machen kann

Naja, Apche kann ich ja in der httpd.conf beibringen ob ich ihn über (x)inetd oder standalone starten will.

Danke, werd mich diesbezüglich mal schlau machen!

apache per (x)inetd ist eine echte schlaftablette... wozu nen schnellen webserver mit fork-pooling wenn man das nicht verwendet?!? die ganzen performacne features auch modperl usw. werden ad adsurdum gefuehrt mit (x)inetd modus. das ist mehr so der vollstaendigkeit halber, aber nicht fuer ernst gemeinte webserver...

(x)inetd ist mehr was fuer dienste mit wenigen langen sitzungen, etwa telnet, ftp, rcp, wo der startup kurz ist -- daher ist auch ssh nicht dafuer geeignet -- das ausrechnen der keys dauert sonst zu lang!

cool -- ich kenn nichts was per tftp loggt...

aber syslog net services (wie sie die cisco 36xx, 25xx, 35xx, 17xx usw. sowie linux und cyclades unterstuetzen) sind fuer cisco und linux ganz gut geeignet wenn du aber pro paket 80 byte per syslog wegschickst ziehst DoS nicht nur auf die firewall, sondern auch auf den logserver und das netz dazwischen -- auch nicht wuenschenswert!

und dann greifst per masquerading irgendwohin zu und der trojaner kommt per buffer overflow rein... :-)