Re: Logging des ppp-internen filters

From: J Wunsch <j(at)uriah.heep.sax.de>
Date: Wed, 14 Jun 2000 08:50:08 +0200



As Udo Erdelhoff wrote:



> > Der Author dürfte sich vorgenommen haben, einen ppp zu bauen, der echt


> > alles kann.


> 


> und wenn ich ganz ehrlich bin, dann stört mich das etwas. Denn das Ergebnis


> dieser Einstellung ist ein ppp-Daemon, der riesengroß ist und zwar alles


> etwas, aber nichts richtig kann.



Das ist, mit Verlaub, Quatsch. ;-)



Brian dürfte ein Musterbeispiel eines maintainers sein, der sich,


statt sich überall einen Namen machen zu wollen, ordentlich auf exakt


ein Stück Software konzentriert.



> Zum Beispiel ist es echt toll, daß man


> direkt im ppp einen Packet Filter hat. Der aber


> - keine Ahnung von IPv6 hat


> - nicht loggen kann


> - keine state machine unterstützt


> - keinen Bandbreitenlimitierung unterstützt


> - das RST-Feature nicht unterstützt.



Du mußt ihn ja nicht nehmen, Du kannst doch das ipfw(4) immer noch


genauso benutzen.  Was soll also die Meckerei?  Ich kann Brian's


Intention verstehen, daß man, wenn man sowieso schon mal jedes Paket


in einem Userland-Dämon anfassen muß, auch gleich noch an der Stelle


filtern kann.  Sagt ja keiner, daß man das dort auch tun _muß_.



Ist denn IPv6 überhaupt schon im PPP implementiert?  Ich sehe keinen


Hinweis drauf, ergo, was willst Du mit einem packet filter, das IPv6


kann da drin?



state machine hat auch ipfw(4) nicht.  Dafür müßtest Du ipfilter(4)


nehmen.  ipfw(4) kann nur nach den TCP-Statusbits gucken und läßt in


der üblichen Konfiguration halt alle TCP-Pakete mit einem `ack'-Bit


durch (``allow tcp from any to any established'').  Da ohne


ordentliches three-way-handshake keine TCP-Verbindung aufzubauen ist,


genügt es sich, die TCP-Pakete für `setup' anzusehen (SYN ohne ack).



> Der Autor wäre IMHO besser gefahren, wenn er statt des eigenen Filters


> lieber eine Möglichkeit gefunden hätte, den ipfw im Kernel zu nutzen.



Woraus schlußfolgerst Du, daß Du das nicht kannst?



> Und da ich neuerdings ADSL habe, ist das doch 


> recht wichtig.



Ja, weil Du Dir jetzt gerade Billigmasseninternet zugelegt hast,


müssen andere jetzt das implementieren, was Du gern hättest?  Nee, so


funktioniert open source software nicht, Udo.



-- 
cheers, J"org               .-.-.   --... ...--   -.. .  DL8DTL
http://www.sax.de/~joerg/                        NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 14 Jun 2000 - 09:20:32 CEST













search this site