© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
hi olli,
> Orkun Sag <orkun(at)orkun.de> wrote:
> > ich habe beim durchstöbern im netz folgende Konfiguration zur
Eintragung im
> > Kernel gefunden:
> >
> > options IPFIREWALL #firewall
> > options IPFIREWALL_VERBOSE #print information about
> > # dropped packets
> > options IPFIREWALL_VERBOSE_LIMIT=100
> > options IPFILTER #ipfilter support
> > options IPDIVERT #divert sockets
> > options IPFILTER_LOG #ipfilter logging
> > options TCP_DROP_SYNFIN #drop TCP packets with SYN+FIN
> > options ICMP_BANDLIM
> > options DUMMYNET
> > options BRIDGE
> >
> > meine fragen wären nun ob ich besonders die zeilen mit IPFILTER in dem
> > aktuellen STABE-4.6:
> >
> > 1. so 'einbacken' kann
> > 2. ob mir das was nuetzt (bin paranoid)
> > 3. ob es mir überhaupt (IPTABLES) von nutzen sein kann
> > 4. was ich beachten müsste
>
"Oliver Fromme" <olli(at)secnetix.de> wrote:
> Du solltest auf keinen Fall einen Schwung Kernel-Optionen,
> die Du irgendwo aufgestöbert hast, einfach so in Deinen
> Kernel aufnehmen, ohne bei jeder einzelnen genau zu wissen,
> wozu sie gut ist.
>
> Beispielsweise möchtest Du vermutlich nicht sowohl IPFILTER
> als auch IPFIREWALL haben, sondern nur eins von beiden.
> Und bist Du sicher, daß Du die Features von DUMMYNETY und
> BRIDGE benötigst? Wenn Du nicht weißt, was das ist, infor-
> miere Dich besser erstmal (es ist alles dokumentiert!), und
> wenn dann immer noch Zweifel bestehen, laß die betreffenden
> Optionen weg.
>
> So ganz grob: IPFILTER und IPFIREWALL sind zwei alternati-
> ve Paketfilter unter FreeBSD; beide haben Vor- und Nachtei-
> le. Ich persönlich ziehe IPFIREWALL vor. IPDIVERT ermög-
> licht es bestimmten Programmen, Pakete im Transit zu bear-
> beiten; das brauchst Du, wenn Du NAT machen willst.
>
> TCP_DROP_SYNFIN wirst Du höchstwahrscheinlich nicht haben
> wollen. ICMP_BANDLIM limitiert die Rate, mit der ICMP-Ant-
> worten erzeugt werden -- das kann nützlich sein und sollte
> nicht schaden. Mit DUMMYNET kannst Du unter anderem Band-
> breitenlimitierung machen, und mit BRIDGE halt Bridging.
>
> Details siehe Handbook, manpages, LINT.
Ich danke Dir für deine Informationen, auf deren Grundlage ich nun einiges
klarer sehe. Und Du hast bei all den Punkten "die ich nicht will" auch
mitlerweile
Recht! :) Das mit den "Zweifeln" hast du sehr präzise aus meinem vorherigen
comment rausgelesen und ich bin froh drum.
Also nochmals Danke !
Grüsse Orkun
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 05 Jul 2002 - 19:50:56 CEST