Re: Basiswissen firewall

On Tue, Feb 18, 2003 at 04:00:18PM +0100, Peter Danecek wrote:
> Hallo,
>
> ich dachte, ich wüsste zumindest genug eine um mir hier eine kleine
> Firewall einzurichten. Aber nun bin ich mir nicht mehr so sicher. Also
> haette ich da noch einige Fragen.
>
> 1. ipfilter /ipfw
>
> Verstehe ich das richtig, dass es sich hier um zwei verschieden
> Implementierungen eine Firewall für BSD handelt. Es gibt wohl
> unterschiede bzgl. der Funktionalität? Kann irgendwer die entscheidenden
> Unterschiede hier herausstellen. Meist ist ja von ipfw die Rede. Ist das
> die bessere, einfachere, stabilere, oder eben nur besser dokumentierte
> Implementierung. Was spricht für welche.

ipfw ist IMO die Featurereichste.
Ich selber benutze ipfw.
ipfilter hingegen ist auch auf anderen Systemen vorhanden und hat
scheinbar auch eine bessere Qualität.

> Ist das richtig, das beide ausschließlich auf IP Ebene filtern? Was
> passiert mit anderen Packeten. Sind die ein Problem?

Nein - bei können auch andere Packete filtern, aber außerhalb von
IP Packeten hat nicht so viele Möglichkeiten, da man meist nur auf
den Typ filtern kann.

> 2. Infos
>
> Wo gibt es gute Basis-/Referenz-Infos. Welche Ports sind für was
> notwendig, welche Protokolle werden wann eingesetzt, usw.

Da solltest du am besten ein wenig googlen, oder ein entsprechendes
Buch kaufen.
In wenigen Worten ist das jedenfalls nicht zu erklären und es gehört
auch eine Portion Erfahrung dazu.

> Zusatzfrage: (vorerst nur um etwas zu verstehen)
>
> Situation:
>
> Internet --------- 128kbit/s Link ----------- Außenstelle (100Mbit/s)
> (Uni-Rechenzent.)
>
> Um nun etwas Kontrolle über den traffic auf den Verbindung zu erhalten
> kann man wohl versuchen traffic shaping zu machen.

Eine Klassische Domäne von dummynet, das du nur über ipfw benutzen
kannst, wobei du aber durchaus ipfw und ipfilter kombieren kannst.

> Ich vermute, dazu ist es sinnvoller dieses auf die Seite des
> Rechenzentrums zu legen, aber würde es auch etwas bringen das auf der
> Seite der Außenstelle zu tun. Meine Idee ist, dass TCP-Verkehr durchaus
> auch von der Außenstellen kontrolliert werden kann, UDP aber einfach
> über den Link geschickt wird.

Am besten reduziert man die Bandbreite möglichst nah beim Sender.
Aber bei tcp Verbindungen reicht in der Regel die automatische Band-
breitenregelung aus.

> Oder bringt das ganze nur irgend etwas, wenn man auf beiden Seiten
> kontrolliert, was wann auf den Link geschickt wird, also eine Firewall
> auf beiden Seiten ?

Kommt darauf an, was du für Situtaionen erwartest.
Du kannst problemlos eine Leitung mit Packeten unbrauchbar machen.
Wenn du erst nach dem Nadelöhr filterst, dann hast du keine Chance
die Leitung freizuhalten.
Letzlich ist es aber einfacher zu Administrieren, wenn die Firewall
auf deiner Seite steht.
Und wenn einer eine Leitung dichtmacht, dann macht der im Bedarfsfall
auch die nächstgrößere Leitung davor dicht.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message