Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Die Installation der SINUS <strong>Firewall</strong> erfordert kleine Änderungen im Kernel des<br />
Betriebssystems, vornehmlich um ein Kommunikationsinterface <strong>für</strong> die Echtzeitkontrolle<br />
des <strong>Firewall</strong>moduls zu schaffen. Hierzu wird empfohlen, den <strong>LINUX</strong> Kernel <strong>2.0</strong>.36 <strong>und</strong> die<br />
ältere libc5.4.xx einzusetzen. Eingriffe in Form von Patches sind nicht notwendig, es wird<br />
aber nach der Neukompilierung ein Treiber als Modul hinzugefügt. Der Kernel sollte mit<br />
folgenden Optionen neu kompiliert werden:<br />
• Network firewalling<br />
• TCP/IP networking<br />
• IP forwarding<br />
• IP firewalling<br />
• IP: Always defragment<br />
• IP: Optimize as router not host<br />
Andere Optionen, wie IP masquerading oder IP aliasing können akiviert oder deaktiviert<br />
sein, sie beeinflussen in keiner Weise die Funktionsweise der <strong>Firewall</strong>. Es ist aber<br />
möglich, daß die SINUS <strong>Firewall</strong> andere Funktionen deaktiviert. Genaue Anweisungen<br />
hierzu später<br />
Für <strong>Firewall</strong> -Cluster oder Fernwartung aus anderen Netzen wird dringendst empfohlen,<br />
ENskip (SUN SKIP) als IPsec Layer <strong>für</strong> die verschlüsselte Kommunikation der <strong>Firewall</strong>s<br />
untereinander oder zum Fernwartungs-Host einzusetzen. Die Installation ist ungleich viel<br />
komplizierter, da hierbei wesentliche Änderungen im Kernel in Form von Patches<br />
vorzunehmen sind. Siehe hierzu auch Kapitel Einstellungen zu Kernel Optionen<br />
Desweiteren müssen Zertifikate erstellt werden. Hierzu weiteres später.<br />
15.2 Entpacken des <strong>Firewall</strong> Quellcodes<br />
Die <strong>Firewall</strong> besitzt <strong>für</strong> alle unterstützte Prozessoren denselben Quellcode. Dieser befindet<br />
sich in sifi-1.0.tar.gz <strong>und</strong> muß mit "tar -xzvf sifi-1.0.tar.gz" entpackt werden. Ein<br />
Einzelfällen könnte es notwendig sein, "tar" oder "gzip" nachzuinstallieren. Es erscheint<br />
ein Verzeichnis sifi-1.0. Hier befinden sich die Quellcodes. Mit "cd sifi-1.0" befindet sich<br />
man nun im korrekten Verzeichnis. Es müssen evtl. einige Anpassung in folgenden Files<br />
vorgenommen werden:<br />
include/sf_config.h<br />
#define SF_TRUSTED_CNT_MAX 20 Hier werden die TRUSTED Hosts begrenzt<br />
#define SF_FRIENDS_CNT_MAX 50 Hier werden die FRIENDS Hosts begrenzt<br />
#define SF_VAR_CNT_MAX 200 Begrenzung der Zahl der Variablen<br />
include/sf_global.h<br />
#define SF_ADDRESS_CNT_MAX 340 Hier werden die Zahl der Clients begrenzt<br />
#define NUM_PROC_ENTRIES 21 Hier wird die Zahl der PROC-Einträge<br />
bestimmt<br />
#define SF_TCP_HASH_SIZE 499 Für viele Verbindungen muß die Zahl<br />
hochgesetzt werden. Es muß immer ca. Faktor 2 größer sein, als die Zahl der<br />
Verbindungen. Damit der HASH Mechanismus funktioniert, muß immer eine<br />
Primzahl gewählt werden.<br />
include/sf_custom.h.in<br />
#define CONF_DIR "/etc/firewall.d/" Pfad der Konfigurationsfiles<br />
#define LOG_DIR "/var/log/" Pfad der Logfiles<br />
#define RUN_DIR "/var/run/" Pfad der PID <strong>und</strong> PIPES<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins