Re: Problem: Dual Homed Gateway

From: J Wunsch <j(at)uriah.heep.sax.de>
Date: Tue, 20 Oct 1998 08:40:22 +0200

As Gerd Bitzer wrote:

> > Wer routed auf einem Firewall aktiviert, gehört erschlagen.

> Die Empfehlungen professioneller FW Berater geht dahin, auf FW's nur
> statisches Routing einzusetzen.

Wir gehören auch zu diesem Kreis :), und ja, ich würde dort sicher
auch kein oder wenig dynamisches Routing machen wollen. GateD kann
zuweilen vonnöten sein, wenn man einen RIP supplier benötigt, der aus
irgendwelchen Gründen unbedingt auf dem Firewall laufen sollte. Auch
kann er nützlich sein, wenn man seine Lernfähigkeit weit genug auf
bekannte und als sinnvoll abgenickte Routes reduziert, wobei die via
Routing-Protokollen gelernten Routes dann interne niedrig priorisierte
reject-Routes überschreiben: fällt die dynamisch gelernte Route aus,
so generiert der Firewall ein sauberes `Network unreachable' für das
Ziel.

routed ist in jedem Falle Humbug, der glaubt alles, was man ihm
erzählt.

> > ab. Wenn Du alles in application-level proxies erledigen kannst,
> > brauchst Du kein IP-Forwarding und bist eine Runde sicherer. Einige
> > kommerzielle Produkte arbeiten grundsätzlich auf diese Weise
> > (Checkpoint Firewall-1, AltaVista, Borderware). Mit FreeBSD (oder
>
> FW1 hat auch ein paar Application Level Proxy artige Dienste, dort Security
> Server genannt.
[...]
> Netcat soll sich z.B. als universeller Proxy einsetzen lassen.Hab
> ich aber noch nie probiert.

FW-1 (und die anderen genannten) haben praktisch nur application-level
proxies. Teilweise spezielle (wie die security server), teilweise
halt allgemeine Teile à la netcat. IP-forwarding im Kernel gibt's
dort nicht, es geht alles komplett über den Firewalldämon im Userland.

-- 
cheers, J"org
joerg_wunsch@uriah.heep.sax.de -- http://www.sax.de/~joerg/ -- NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)
Received on Tue 20 Oct 1998 - 08:51:25 CEST

search this site