Re: Stack und ipfw tuning...

Widmer Hannes <h.widmer(at)cybernet.ch> wrote:
> [...]
> googel versucht Standard oder spezifische Firewall Optionen
> zu suchen. Z.B. Habe ich mal gelesen, dass gewisse optionen
> in sysctl geldanen werden sollten, eine Art Stack tuning.....
> Die 2te Frage stellt sich an die ipfw regeln.... Es gibt ja
> default rules, z.B. gegen spoofing oder icmp packets oder die
> privaten Netze. Nun, kennt jemand von euch eine gute Seite wo
> ich solche informationen finde?.... Was ich mit google finde
> sind meist keine ganzen beispiele oder schlecht erklärt.....

Da kann ich nur wiederholen, was ich vor 'nem Jahr schonmal
schrieb:

Die beste Empfehlung ist wohl, sich ein Buch über TCP/IP
und Firewalls/Paketfilter zu kaufen. Es ist sehr wichtig,
die Grundlagen zu verstehen, um ein Konzept und eine Kon-
figuration zu erstellen, die ein Maximum an machbarer Si-
cherheit bietet und dabei die gewünschte Funktionionaliät
sowenig wie möglich einschränkt. An einigen Stellen wird
man vielleicht Kompromisse eingehen müssen, aber um solche
Entscheidungen fundiert treffen zu können, muß man wissen,
wie das ganze überhaupt funktioniert.

Eine fertige Konfiguration zu nehmen und dann Pi-mal-Daumen
abzuändern ist eher eine ganz schlechte Idee. Eine falsche
Regel kann unwissentlich ein Loch hinterlassen und damit
den kompletten Filter aushebeln. Man braucht für sowas
eher kein »How-to«, sondern ein »Know-to«. Ein gutes Buch
halte ich dafür für unersetzlich.

Wenn Du in der nächsten Fachbuchhandlung die IT-Ecke auf-
suchst wirst Du Dich vor Firewall-Büchern kaum noch retten
können. Eins, das mir spontan einfällt, ist »Einrichten
von Internet-Firewalls« von O'Reilly, aber es gibt tausend
weitere.

Zwei URLs hätte ich noch anzubieten:
http://www.freebsd-howto.com/HOWTO/Ipfw-HOWTO
http://www.freebsd-howto.com/HOWTO/Ipfw-Advanced-Supplement-HOWTO

Und die abschließende Bemerkung, daß ich eher IPF (IPFil-
ter) statt IPFW empfehlen würde, unter anderem weil es auch
besser dokumentiert ist (IMO, siehe www.ipfilter.org) und
auch jenseits der FreeBSD-Welt verwendbar.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"The only reasonable alternative we can come up with is to close off the
Internet to America Online users until they have passed an entrance test.
But that would break federal laws that prohibit discrimination against
the intellectually challenged." -- hhahn(at)boardwatch.com
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message