Moin,
--On Mittwoch, 11. August 2004 16:40 Uhr +0200 Widmer Hannes <H.Widmer(at)cybernet.ch> wrote:
> Kleine kleine Frage. Bin auf der suche nach einer guten
> (erfahrungswerte) Linuxfirewall (ISO style).
Was meinst Du mit "ISO"-Style?
> Hab mir mal
> IPcop, Smoothwall angeschaut aber das Problem ist,
> dass ich eine FW suche, welche Bridging unterstüzt
Du hast sie doch vor der Nase? Nimm ein "klein-gemachtes"
*BSD, waehle einen "passenden" Paketfilter und "gut ists".
> Ich habe ein /16 und möchte dies über eine FW verwalten.
Wieviele "Adressen" hinter einer Firewall stehen ist
schlussendlich uninteressant. Interessant fuer Paket-
filter-Performance ist die Paketrate im Mittel und in
der Spitze.
> - Bridging
*BSD (zumindest mit Open- und FreeBSD ist es machbar,
wenn ich mich nicht irre.
> - vpn
Falls VPN ==> IPSec wuerde ich persoenlich ein BSD
immer dem Linux IPSec Wildwuchs (ja, ich finde dieses
Thema in der Linux-Welt sehr unuebersichtlich) vorziehen.
Nur NAT-Traversal koennen die BSDs AFAIK (noch) nicht;
aber das sollte bei einem /16 wohl kaum eine entscheidende
Rolle spielen.
> - trafficshaping
PF/ALTQ oder ipfw/dummynet
> - IDS
IDS gehoert *definitiv* auf eine isolierte Maschine.
Da man bei einem IDS in vielen Faellen mehrere Netz-
segmente ueberwachen moechte, sollte man eine Maschine
mit entsprechend vielen *readonly* Netz-Interfaces
ausstatten und diese Kiste (Exploits von Protokoll- und
Content-Analyzern gibt es jede Menge) *vollstaendig*
vom LAN isolieren.
> - Aktionen vom IDS ausführen ala autoblock oder so was
unreflektierter autoblock ist mehr als nur DOS-anfaellig.
Die Aufgabe eines "puren" IDS ist die Ueberwachung und
Alarmierung. Die "Reaktion" auf einen vermeintlichen oder
tatsaechlichen Incident sollte dem Admin verbehalten sein.
> - keine hohe anforderungen an das system- am liebsten
> RedHat basierend...
issjaekelich.
-Andreas
P.S.: meine ganz private Meinung: IDS macht man ganz
oder gar nicht. "ganz" stellt *erhebliche* Ansprueche
an den Betreiber/Admin.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 11 Aug 2004 - 21:57:36 CEST