Re: Problem: Dual Homed Gateway

As Rainer M Duffner wrote:

> Was mich immer noch interessieren würde, ist was es denn bei
> NAT+Firewall (ipfw) zu beachten gibt - das erwähnte Tutorial listet ja
> noch auf, man solle routed aktivieren - ein anderes Tutorial, das ich
> aufgegriffen habe sagt nichts davon, und so wie ich die diverse
> Literatur verstanden habe, sollte auch kein Routing aktiv sein.

Wer routed auf einem Firewall aktiviert, gehört erschlagen.

routed hat außerdem nichts, aber auch absolut gar nichts damit zu tun,
ob die entsprechende Maschine IP-Forwarding betreibt oder nicht.
routed managt dynamische Routing-Protokolle, das noch dazu in einer
ziemlich stupiden Art und Weise (deshalb hat er auf einem Firewall
nichts verloren -- wenn Du dort derartige Funktionalität wirklich
benötigst, dann nimm GateD).

Ob Du auf einem Firewall IP-Forwarding aktivieren willst oder nicht,
hängt von der Architektur Deines Firewalls und dem gewünschten Zweck
ab. Wenn Du alles in application-level proxies erledigen kannst,
brauchst Du kein IP-Forwarding und bist eine Runde sicherer. Einige
kommerzielle Produkte arbeiten grundsätzlich auf diese Weise
(Checkpoint Firewall-1, AltaVista, Borderware). Mit FreeBSD (oder
Linux) wirst Du eine derartige Lösung wohl nur bekommen, wenn Du Dich
auf einige wenige Protokolle wie HTTP/email/anonFTP beschränkst und
dafür dann gängige Proxies installierst. Willst Du mehr (und z. B.
auch tatsächlich dann natd einsetzen), so mußt Du zwangsläufig
forwarden.

Gemessen an den Fragen, die Du hier stellst (die ziemlich grund-
legender Natur sind), würde ich an Deiner Stelle aber das Projekt
lieber mit jemandem unternehmen, der ein bißchen mehr Ahnung davon
hat. Die Gefahr ist sonst groß, daß Du Dir irgendwelche Sicherheits-
löcher einhandelst, die Du nicht überschaust.

-- 
cheers, J"org
joerg_wunsch@uriah.heep.sax.de -- http://www.sax.de/~joerg/ -- NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)