stateful Firewall und Timeouts

From: Christian Lackas <lackas(at)mail.desy.de>
Date: Mon, 8 Jul 2002 13:37:46 +0200

Hallo zusammen,

ich habe ein Problem mit meiner Firewall (ipfw). Ich wollte die jetzt
vom reinen Packetfilter zu einer Firewall mit state ausbauen. Das
funktioniert auch soweit, allerdings gibt es Probleme mit
ssh-Verbindungen. Die dynamischen Regeln, die beim Connect angelegt
werden, leben mir nicht lange genug. Die Verbindung wird also nach etwa
20 Sekunden ohne Traffic gekappt. Dafür sind ja wohl die folgenden
sysctl Einstellungen zuständig:

    net.inet.ip.fw.dyn_ack_lifetime: 300
    net.inet.ip.fw.dyn_syn_lifetime: 20
    net.inet.ip.fw.dyn_fin_lifetime: 1
    net.inet.ip.fw.dyn_rst_lifetime: 1
    net.inet.ip.fw.dyn_udp_lifetime: 10
    net.inet.ip.fw.dyn_short_lifetime: 5

(das sollten die Defaults meines FreeBSD 4.6-STABLE 5.7.2002 sein).
Kann ich da jetzt einfach »dyn_syn_lifetime« erhöhen? Bei anderen
Verbindungen (HTTP, FTP, POP, ...). Kann das ja ein vernünftiger Wert
sein. Und ich will auch nicht, dass die Liste mit den dynamischen Regeln
überläuft.

Kann man die Lebenszeit für bestimmte Verbindungen (z.B. Port 22)
einstellen? Stimmt meine Vermutung mit der Lifetime überhaupt, oder gibt
es noch ein anderes Problem (dann Poste ich mal mein Firewall-Script).

Mein Ansatz wäre jetzt den SSH-Traffic noch vor dem »check-state« zu
erlauben. Aber das wäre dann natürlich ein Rückschritt. SSH kann doch
AFAIR keep-alive-Packete schicken. Aber das möchte ich natürlich auch
nicht alle paar Sekunden machen müssen.

Hoffe auf eure Anregungen.

Gruß
 Christian

-- 
Murphys Law 16: Wer lächelt, wenn etwas schiefgeht, weiß einen, den er
dafür verantwortlich machen kann.
http://www.lackas.net/ Perl Delphi Linux MP3 Searchengines Domainchecker
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 08 Jul 2002 - 13:38:21 CEST

search this site