Bernd Walter wrote:
>On Tue, Feb 18, 2003 at 04:00:18PM +0100, Peter Danecek wrote:
>
>
>>1. ipfilter /ipfw
>>
>>
>>
>ipfw ist IMO die Featurereichste.
>Ich selber benutze ipfw.
>ipfilter hingegen ist auch auf anderen Systemen vorhanden und hat
>scheinbar auch eine bessere Qualität.
>
>
Ist ipfw Teil des FreeBSD-Projekt und nur auf *BSD verfügbar, oder wie
darf soll ich das verstehen?
>>2. Infos
>>
>>Wo gibt es gute Basis-/Referenz-Infos. Welche Ports sind für was
>>notwendig, welche Protokolle werden wann eingesetzt, usw.
>>
>>
>
>Da solltest du am besten ein wenig googlen, oder ein entsprechendes
>Buch kaufen.
>In wenigen Worten ist das jedenfalls nicht zu erklären und es gehört
>auch eine Portion Erfahrung dazu.
>
>
So etwa habe ich mir das auch vorgestellt. Da ich aber erstmal nur
Verkehr von außen sperren so weit sinnvoll sperren will und für mich
selber offen halten will, dachte ich, ich könnte mich an den Anleitungen
des FreeBSD-Projektes orientieren. Ein schnelle Lösung, damit meine
dialup-Verbindung nicht länger als nötig die Kasse von t-offline
klingeln lässt.
Für die Details habe ich gehofft, dass es eine nette Referenz gibt, die
beschreibt, welche Dienste auf welchen Ports aktiv sind. Klar weiss ich
das z.B. für ssh, HTTP usw. aber z.B. für nfs (nicht das ich das hier
bräuchte, wüsste ich das schon nicht mehr).
>>Zusatzfrage: (vorerst nur um etwas zu verstehen)
>>
>>Situation:
>>
>>Internet --------- 128kbit/s Link ----------- Außenstelle (100Mbit/s)
>>(Uni-Rechenzent.)
>>
>>
>>
>Kommt darauf an, was du für Situtaionen erwartest.
>Du kannst problemlos eine Leitung mit Packeten unbrauchbar machen.
>Wenn du erst nach dem Nadelöhr filterst, dann hast du keine Chance
>die Leitung freizuhalten.
>Letzlich ist es aber einfacher zu Administrieren, wenn die Firewall
>auf deiner Seite steht.
>Und wenn einer eine Leitung dichtmacht, dann macht der im Bedarfsfall
>auch die nächstgrößere Leitung davor dicht.
>
>
>
>
Ich denke, das im Rechenzentrum, deutlich mehr Bandbreite zur Verfügung
steht, so dass es nicht all zu schwer sein sollte unsere Leitung dicht
zu machen, ohne dass andere Leitungen betroffen wären.
Meine Idee wäre, auf der Seite des RZ zumindest das zu sperren, was wir
den Welt nicht anbieten oder was wir von unserer Seite nicht
kontrollieren können (v.a. UDP) und den Rest in der Bandbreite so zu
beschränken, dass uns etwas zum Arbeiten übrigbleibt.
Die Frage zielte vor allem darauf ab, wieviel Kontrolle wir mit dummynet
auf unserer Seite überhaupt erreichen können und ob das überhaupt ein
sinnvoller Ansatz sein könnte.
gruss petrrr
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 18 Feb 2003 - 16:24:39 CET