© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo zusammen,
ich habe ein Problem mit meiner Firewall (ipfw). Ich wollte die jetzt
vom reinen Packetfilter zu einer Firewall mit state ausbauen. Das
funktioniert auch soweit, allerdings gibt es Probleme mit
ssh-Verbindungen. Die dynamischen Regeln, die beim Connect angelegt
werden, leben mir nicht lange genug. Die Verbindung wird also nach etwa
20 Sekunden ohne Traffic gekappt. Dafür sind ja wohl die folgenden
sysctl Einstellungen zuständig:
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_short_lifetime: 5
(das sollten die Defaults meines FreeBSD 4.6-STABLE 5.7.2002 sein).
Kann ich da jetzt einfach »dyn_syn_lifetime« erhöhen? Bei anderen
Verbindungen (HTTP, FTP, POP, ...). Kann das ja ein vernünftiger Wert
sein. Und ich will auch nicht, dass die Liste mit den dynamischen Regeln
überläuft.
Kann man die Lebenszeit für bestimmte Verbindungen (z.B. Port 22)
einstellen? Stimmt meine Vermutung mit der Lifetime überhaupt, oder gibt
es noch ein anderes Problem (dann Poste ich mal mein Firewall-Script).
Mein Ansatz wäre jetzt den SSH-Traffic noch vor dem »check-state« zu
erlauben. Aber das wäre dann natürlich ein Rückschritt. SSH kann doch
AFAIR keep-alive-Packete schicken. Aber das möchte ich natürlich auch
nicht alle paar Sekunden machen müssen.
Hoffe auf eure Anregungen.
Gruß
Christian
-- Murphys Law 16: Wer lächelt, wenn etwas schiefgeht, weiß einen, den er dafür verantwortlich machen kann. http://www.lackas.net/ Perl Delphi Linux MP3 Searchengines Domainchecker To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 08 Jul 2002 - 13:38:21 CEST