Re: ipf/ipnat oder ipfw/natd

From: Peter Ross <petros(at)pps.de>
Date: Mon, 5 Mar 2001 11:54:52 +0100 (MET)

Hi,

mein "Senf" dazu:

Ich habe zuerst ipfw gesehen und die Anbindung meiner Firma damit realisiert.

Ein wenig schmuddelig fand ich die Erstloesung fuer FTP (wegen dem von aussen zu
oeffnenden Datenverbindung) - da habe ich dann neidisch zu ipfilter geschaut -
wegen des "keep-state". Das war dann kurz danach auch bei ipfw vorhanden.

Nun, wer in das HOWTO fuer ipfilter ( http://www.obfuscation.org/ipf/ ) zum
Thema FTP schaut, stoesst auch irgendwann auf die Stelle:

> If even this solution doesn't satisfy you, you can always
> hack IPF support into your FTP server, or FTP server support
> into IPF.

Das, was da vorher beschrieben ist, laesst sich inzwischen auch mit ipfw
realisieren. Nothing is perfect..

Und dann wurde ich vor kurzem auf das "natd -punch_fw" aufmerksam gemacht..
Zeitweise wird eine Datenverbindung zugelassen, wie ganau dass funktioniert,
weiss ich noch nicht, aber das sieht tatsaechlich nach dem "Mitlesen" der
FTP-Steuer-Verbindung aus, was sicher die cleverste, wenn auch aufwendigste
Loesung ist. (Die allerbeste ist die, auf FTP zu verzichten;-)

Wie man an diesem Beispiel sieht: an beidem wird gearbeitet, mal hat dieses, mal
jenes die Nase vorn.

Der Luxus einer 2MBit/s-Standleitung fuehrt natuerlich dazu, dass ich ein paar
Puzzeleien (s. T-DSL) nicht brauchte.

Bis jetzt habe ich auch keine Bandbreitenbegrenzung im Einsatz. Aber da fuehrt
wohl an ipfw kein Weg vorbei.

Davon abgesehen, wuerden meine praktischen Beduerfnisse bis jetzt, soweit ich
sehe, von beiden Paketen befriedigt.

Fuer ipfilter spricht die Portabilitaet, wenn man mal einen Firewall nicht mit
FreeBSD aufsetzen muss.

Moeglicherweise wird auf Grund der Realisierung das eine oder das andere
performanter sein. Darueber kann ich leider nichts sagen, da fehlt mir Zeit und
Wissen, um das zu verfolgen.

Dazu muesste ich mir wohl mal den zweiten Band von "TCP Illustrated" von Stevens
durchzulesen, der erste war immens hilfreich, um einen Firewall zu konfigurieren
und zu begreifen.

Viel Spass beim Basteln -
im Notfall hilft ja diese Liste oder die englische Security-Liste -

meinerseits an dieser Stelle ein Dankeschoen fuer Anregungen von dieser Liste
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 05 Mar 2001 - 11:55:29 CET

search this site