Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
BUS Festplatten mit je 25 GByte Kapazität zum Preis von 4x600 DM reichen hier völlig<br />
aus, um die gesetzlichen Vorschriften erfüllen zu können. Erfahrungsgemäß reicht ein<br />
AMD 350 MHz mit 128 MByte RAM <strong>und</strong> 100 GByte Festplatte, 2x 100 MBit Karten <strong>und</strong><br />
<strong>LINUX</strong> <strong>Firewall</strong> völlig aus, um eine 2 MBit Anbindung zu überwachen. Der Gesamtpreis<br />
beläuft sich ca. auf 5.000 DM. Etwas geringer sind die Anforderungen bei DIAL-IN<br />
Routern. Um 30 ISDN - Leitungen mit einer <strong>Firewall</strong> abzusichern, reicht ein P166 mit 64<br />
MByte RAM , 2x10 MBit Karten <strong>und</strong> <strong>LINUX</strong> <strong>2.0</strong> völlig aus. Besonderes Tuning ist nicht<br />
erforderlich.<br />
21.2 Einsatz in Intranets<br />
<strong>LINUX</strong> ist prädestiniert <strong>für</strong> die Absicherung von einzelnen Abteilungen innerhalb eines<br />
großen Unternehmens. Die minimalen Anschaffungskosten <strong>und</strong> die leichte Bedienbarkeit<br />
über die JAVA Benutzeroberfläche der SINUS <strong>Firewall</strong>-1 erlauben es auch Anfängern,<br />
einzelne security policies direkt umzusetzen.<br />
Intranets haben eine höhere Bandbreite (10-100 MBit) als im Internet üblich, jedoch ist die<br />
Zahl der simultanen oder halboffenen Verbindungen pro Sek<strong>und</strong>e sehr viel kleiner, als bei<br />
ISP's. Da die <strong>Firewall</strong> die Regeln ja nur bei einem Neuaufbau einer Verbindung<br />
durchlaufen muß, ist im Prinzip ein Pentium 66 mit 16 MByte RAM <strong>und</strong> 2x100 MBit<br />
Netzwerkkarten völlig ausreichend. Man sollte die Tuning-Regeln im Kapitel <strong>Firewall</strong>-<br />
Router mit SQUID - Proxy beachten.<br />
21.3 Einsatz als <strong>Firewall</strong>-Router<br />
Beim Einsatz als <strong>Firewall</strong>-Router sind die Anforderungen noch geringer, als die beim<br />
Einsatz im Intranet, da eine ISDN Anbindung sehr langsam ist. Ein 80386-33 mit 16 MB<br />
RAM reicht da völlig aus.<br />
21.4 <strong>Firewall</strong>-Router mit SQUID - Proxy<br />
Wer <strong>LINUX</strong> als <strong>Firewall</strong>-Router <strong>und</strong> Intranet-Server, Mail-Server sowie PROXY einsetzen<br />
möchte, der sollte mindestens einen Pentium 166 mit 64 MB RAM einsetzen. PROXY's<br />
verbrauchen eine große Zahl von Filehandels (maximale Zahl von offenen Dateien),<br />
sodaß hier der Kernel <strong>und</strong> der PROXY neu kompiliert werden müssen. Beim Kernel ist es<br />
wichtig, die maximale Zahl der Filehandels auf mindesten 1024 zu vergrößern <strong>und</strong> die<br />
maximale Zahl der halboffenen Verbindungen vergrößert wird. Hierzu muß man in der<br />
Datei /usr/src/linux/include/linux/socket.h die Variable SOMAXCONN auf 400-500<br />
(keinesfalls auf höhere Werte) vergrößern, <strong>und</strong> die Zahl der Filedeskriptoren in der Datei<br />
/usr/src/linux/include/linux/posix_types.h auf 4096 oder 8192 (__FD_SETSIZE 8192)<br />
setzen. Hiermit teilen Sie dem Kernel <strong>und</strong> vor allem allen neu kompilierten Dämonen mit,<br />
daß nun mehr als 256 bzw. 1024 Dateien gleichzeitig offen sein dürfen. Bei einem Engpaß<br />
würde ansonsten der PROXY-Cache nicht genügend Dateien öffnen <strong>und</strong> vor allem<br />
offenhalten können, sodaß hier der PROXY sehr gebremst wird. Er muß nämlich zuerst<br />
einen Handel schließen, damit er einen neuen <strong>für</strong> einen Surfer öffnen kann. Der Surfer hat<br />
den Eindruck, die ISDN Leitung wäre völlig überlastet, jedoch ist in Wahrheit der PROXY<br />
überlastet. Man muß bedenken, daß manchmal auf einer WWW-Seite bis zu 100 kleine<br />
Grafiken sind. Allein schon 10-20 User können dann einen Standard S.u.S.E. 6.2 Kernel<br />
(max 1024 offene Dateien) bzw. den PROXY CACHE arg stressen. Nach dem Patch muß<br />
also zuerst der Kernel, <strong>und</strong> dann der SQUID Proxy neu kompiliert werden. In der<br />
Konfigurationsdatei /etc/squid.conf sollte man die Werte <strong>für</strong> die Zahl der Verzeichnisse in<br />
der Zeile cache_dir /var/squid/cache 16 256 auf folgende Parameter setzen: cache_dir<br />
/var/squid/cache 100 16 16. Danach müssen Sie die Cache - Verzeichnisse<br />
/var/squid/cache/... löschen, <strong>und</strong> durch Start von SQUID mit der Option -Yz wieder neu<br />
anlegen. Sie dürfen nicht vergessen, das Cache Verzeichnis <strong>und</strong> alle Verzeichnisse<br />
darunter durch chown -R nobody:nogroup /var/squid/cache an den SQUID Dämon zu<br />
übergeben, der gewöhnlich unter diesem Useraccount mit eingeschränkten Rechten<br />
gestartet wird. Niemals sollte SQUID als Root laufen.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins