© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo,
Bernd Walter schrieb am Fri, 21 Dec 2001:
> Das Feature hat die Aufgabe den Rechner selber vor Angriffen zu schützen.
> Wenn du das auf einer Firewall machen willst mußt du das mit ipfw
> machen.
Schade eigentlich, das Limit so einfach zu setzen wäre schön gewesen.
> Es macht eigendlich keinen Sinn vom default abzuweichen, weil du ja
> schliesslich ICMP haben willst.
Da das nur für den eigenen Host zutrifft ist das relativ uninteressant.
> Nein - es limitiert keine Pings, sondern ICMP, was mehr als nur Pings
> sind.
Ich habs nicht im Quelltext nachgelesen, aber bei mir taucht in der
xconsole die Meldung auf:
Limiting icmp ping response from 141 to 100 packets per second
Aber wie auch immer, da die Methode eh nicht zur Anwendung kommen kann
ist es egal ob es nun ICMP Typ 8 ist der dann ignoriert wird oder alle.
> Und der Wert gilt auch nur für eingehende Packete.
Stimmt, da hab ich mich vorhin verhauen bei meinen Selbstversuchen.
> > ipfw add pipe 7 icmp from any to any
> > ipfw pipe 7 config bw 320kbit/s queue 10KBytes
> > so in etwa?
> Grundsätzlich ja.
> Da ICMPs klein sind erscheint die Bitrate recht hoch.
> Du wirst evtl auch über eine host mask nachdenken wollen.
Da es ein 100 MBit Link ist denke ich nein. War aber auch ein copy und
paste aus meinem lokalen Netzwerk, mit einem fiktiven Wert. Genauso any
to any, das müsste ich dann ändern.
> Zu guter letzt macht das aber überhaupt keinen Sinn.
> Die Limitierung ist da um Rechner vor replys auf nicht existierende
> Rechner im lokalen LAN zu schützen.
> Das sieht im Prinzip so aus, daß der Angreifer viele Packete mit
> einem falschen Absender an das Opfer schickt. Der wiederrum hat das
> Problem die Antwortpackete bis zum Netzwerktimeout nicht loszuwerden und
> geht das Risiko ein, daß ein Kernelbuffer vollläuft.
> Da eine Firewall aber von draußen kein Packet mit einem internen
> Absender reinlassen sollte existiert das Problem auch nicht.
und wenn es externe Adresse ist habe ich gelitten. Das Problem sind
nicht die internen Rechner sondern mehr die Firewall, da lagen teilweise
schon mal 70MBit von draussen an, normal sind 10 MBit. Ich will im
Prinzip nur sowohl auf dem externen als auch auf dem internen Device
icmp bzw pings verwerfen bei überschreiten eines Limits. Wobei 2 MBit
durchaus in Ordnung sind. Pings ganz abdrehen kann ich leider nicht, das
gibt Ärger mit den Kunden, die offenbar nicht mit traceroute ungehen
wollen / können.
> > zum Schluß noch, auf SMP Maschine ist eher ipfilter oder ipfw
> > performanter?
s/\ Maschine/einer\ Maschine/
> Weder ipfilter noch ipfw können eine zweite CPU sinnvoll nutzen.
> SMP macht nur Sinn, wenn auf der Maschine noch andere Dienste laufen.
Hätte ich vorher auch gesagt, scheint aber doch was zu bringen, sonst
wäre der Performance Gewinn von einem Athlon auf ein Pentium nicht so
hoch gewesen imo.
> IMHO ist in der Regel ipfw die bessere Wahl.
> Ipfilter hat allerdings den Reiz, daß man die gleichen Regeln auf
> mehreren Betriebssystemem einsetzen kann.
Gut aus Gewohnheit tendiere ich dann zu ipfw.
Gruß
Oliver
--
------------------------------------------------------------------
Wie man weiss, ist "Windows" ebenfalls indianisch und heisst
,,Weisser Mann starren durch Glasscheibe auf Sanduhr``
------------------------------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 21 Dec 2001 - 18:04:12 CET