© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo Bernd,
On Tue Aug 12, 2003 at 01:33PM +0200, Bernd Walter wrote:
> On Tue, Aug 12, 2003 at 11:47:28AM +0200, Gordon Bergling wrote:
> > On Tue Aug 12, 2003 at 11:35AM +0200, Oliver Fromme wrote:
> > > Nö. Man muß auf dem Host dann natürlich ein entsprechendes
> > > Forwarding laufen lassen. Das kann man per Filter machen
> > > (IPF oder IPFW/2) und/oder per Proxy.
> >
> > Stimmt auch, aber für mich im privaten Bereich, wo eine Machine alles
> > macht, wohl etwas übertrieben. Ich binde die Jails meist an LAN-Adressen,
> > da ich fürs interne LAN (2 Rechner) nicht extra filter/frwd Rules
> > erzeugen möchte. Ich hab da so einen Performance-Tick. ;)
>
> Gerade die Performance treibt einen dazu eben nicht LAN IPs zu nehmen.
> Wenn du IPs aus einen extra draufgerouteten Bereich nimmst,
> dann gibt es auf dem Router z.B. eine Route für 8 IPs.
> Wenn du hingegen 8 IPs aus dem LAN nimmst, dann gibt es auf dem Router
> 8 dynamische ARP Einträge.
Sicherlich hast Du damit recht. Ich meinte allerdings mehr die zusätzlichen
Filter-Regeln, die ich einfügen müsste. Derzeitig ist per
Default auf dem internen NIC alles erlaubt. Besser gesagt alles was im
lokalen Subnet läuft. Wenn ich meine Jails an loopback Adressen binden
würde so müssten forward regeln für interne und externe IP-Adressen
definiert werden. Das würde mir im gewerblichen Bereich sicherlich egal
sein, da man dort auf maximale Sicherheit aus ist, aber mein lokaler
Rechner ist schon mit seinen jetztigen Diensten gut ausgelastet, so dass
ich darauf verzichtet habe.
Aber gut bevor wir jetzt anfangen auf Kleinigkeiten einzugehen, gebe ich
zu das ein paar Filterregeln wohl kaum die Performance verschlechtern
würden, aber ich halte es immer noch von Vorteil, sein Rule-Set
möglichst klein und übersichtlich zu halten. Desto mehr Regeln drinne
sind, desto mehr anfällig ist es für Fehler. IMHO
Gruss,
Gordon
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 12 Aug 2003 - 13:48:14 CEST