Re: Firewall konfigurieren

From: Oliver Fromme <olli(at)secnetix.de>
Date: Fri, 5 Jul 2002 12:51:54 +0200 (CEST)

Orkun Sag <orkun(at)orkun.de> wrote:
> ich habe beim durchstöbern im netz folgende Konfiguration zur Eintragung im
> Kernel gefunden:
>
> options IPFIREWALL #firewall
> options IPFIREWALL_VERBOSE #print information about
> # dropped packets
> options IPFIREWALL_VERBOSE_LIMIT=100
> options IPFILTER #ipfilter support
> options IPDIVERT #divert sockets
> options IPFILTER_LOG #ipfilter logging
> options TCP_DROP_SYNFIN #drop TCP packets with SYN+FIN
> options ICMP_BANDLIM
> options DUMMYNET
> options BRIDGE
>
> meine fragen wären nun ob ich besonders die zeilen mit IPFILTER in dem
> aktuellen STABE-4.6:
>
> 1. so 'einbacken' kann
> 2. ob mir das was nuetzt (bin paranoid)
> 3. ob es mir überhaupt (IPTABLES) von nutzen sein kann
> 4. was ich beachten müsste

Du solltest auf keinen Fall einen Schwung Kernel-Optionen,
die Du irgendwo aufgestöbert hast, einfach so in Deinen
Kernel aufnehmen, ohne bei jeder einzelnen genau zu wissen,
wozu sie gut ist.

Beispielsweise möchtest Du vermutlich nicht sowohl IPFILTER
als auch IPFIREWALL haben, sondern nur eins von beiden.
Und bist Du sicher, daß Du die Features von DUMMYNETY und
BRIDGE benötigst? Wenn Du nicht weißt, was das ist, infor-
miere Dich besser erstmal (es ist alles dokumentiert!), und
wenn dann immer noch Zweifel bestehen, laß die betreffenden
Optionen weg.

So ganz grob: IPFILTER und IPFIREWALL sind zwei alternati-
ve Paketfilter unter FreeBSD; beide haben Vor- und Nachtei-
le. Ich persönlich ziehe IPFIREWALL vor. IPDIVERT ermög-
licht es bestimmten Programmen, Pakete im Transit zu bear-
beiten; das brauchst Du, wenn Du NAT machen willst.

TCP_DROP_SYNFIN wirst Du höchstwahrscheinlich nicht haben
wollen. ICMP_BANDLIM limitiert die Rate, mit der ICMP-Ant-
worten erzeugt werden -- das kann nützlich sein und sollte
nicht schaden. Mit DUMMYNET kannst Du unter anderem Band-
breitenlimitierung machen, und mit BRIDGE halt Bridging.

Details siehe Handbook, manpages, LINT.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 05 Jul 2002 - 12:51:57 CEST

search this site