Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
werden. Die Zyklen hängen entscheidend von der Art der Filterung ab (max. MTU=1590<br />
Byte):<br />
• IP Pakete an der Netzwerkkarte (Netmask): 50-100 CPU Zyklen<br />
• IP Pakete, filterung nach src oder dst: 100-200 CPU Zyklen<br />
• TCP Paket mit src <strong>und</strong> dst Port: 200-400 CPU Zyklen<br />
Wer schnellstmögliche Paketfilterung haben möchte, der sollte unbedingt NetBSD auf<br />
DEC-ALPHA mit 700 MHz einsetzen. Das Paket IP-Filter von Darren Reed kann bis ca.<br />
500.000 Pakete / Sek<strong>und</strong>e Filtern, eine unglaubliche Transferrate. Unter <strong>LINUX</strong>/ALPHA<br />
mit Kernel <strong>2.2</strong> liegt die Rate erheblich niedriger. Ca. 200.000 Pakete pro Sek<strong>und</strong>e sind<br />
aber realistisch (jeweils bei max. MTU=1590 Byte). Wie man sieht, sind ATM Netzwerke<br />
(155 MBit) kein Problem mehr, auch <strong>für</strong> Billig PC´s mit Intel Hardware. Wer genaue<br />
Messwerte <strong>für</strong> SINUS <strong>Firewall</strong> sucht, der findet diese im SINUS <strong>Firewall</strong> Source unter<br />
Dokumentation.<br />
21.7 Tuning der TOS Bits in TCP/IP - Paketen<br />
Dieses Tuning der TOS Bits ist im Kapitel TOS Bits ausführlicher beschrieben.<br />
22. Gr<strong>und</strong>lagen zur Installation von Linux<br />
Für die Installation der <strong>Firewall</strong>-Routinen im Kernel ist in fast allen Fällen notwendig, den<br />
Kernel korrekt zu konfigurieren <strong>und</strong> danach neu zu kompilieren. Siehe hierzu auch das<br />
Kapitel über Fallstricke bei den Kernel-Optionen. Dieses Kapitel sollte man besonders<br />
aufmerksam durchlesen. Der Gr<strong>und</strong>, warum hier trotz komfortabler Installationsroutinen<br />
der Distributionen die wichtigen Einzelheiten einer Installation noch einmal aufgeführt sind,<br />
liegt darin begründet, daß fast alle Distributionen <strong>LINUX</strong> so konfigurieren, daß hier <strong>für</strong> den<br />
User alle möglichen Funktionen aktiviert sind. Jede dieser Funktionen stellt ein<br />
Sicherheitsrisiko dar. Während man viele der Funktionen entfernt, kann es passieren, daß<br />
man versehentlich auch Teile der Basiskonfiguration in Mitleidenschaft zieht. Dieses<br />
Kapitel <strong>und</strong> das Kapitel über ipfwadm ermöglichen die Installation der Basisfunktionen per<br />
Hand, also ohne irgendein Toolkit eines Distributors. <strong>LINUX</strong> ist <strong>LINUX</strong>.<br />
22.1 Kompilierung des Kernel<br />
Es könnte sein, daß nach der Installation von <strong>LINUX</strong> eventuell die zweite Netzwerkkarte<br />
noch nicht erkannt wird. Durch die individuelle Einstellung des Kernel kann man noch<br />
einige weitere wichtige Dinge beeinflussen. Detaillierte Informationen, insbesondere zum<br />
Kernel V <strong>2.2</strong>, gibt es im Kapitel Kernel Optionen.<br />
Wir gehen davon aus, daß noch keine Unterstützung <strong>für</strong> Netzwerkkarten besteht. Hierzu<br />
muß man den Kernel neu konfigurieren <strong>und</strong> kompilieren. Der Vorgang ist nicht so<br />
kompliziert, wie es klingt. Vorteil ist aber, daß der Kernel schneller ist, <strong>und</strong> zusätzlichen<br />
Schutz vor einigen Angriffen bietet.<br />
Es gibt zwei Möglichkeiten, den Kernel zu kompilieren. Über die X-Windows Oberfläche,<br />
oder über die Konsole oder sogar quer über das Internet auf einem Internet - Server, wie<br />
es häufig praktiziert wird. Um den Kernel neu zu kompilieren, sind folgende Befehle<br />
einzugeben:<br />
cd /usr/src/linux<br />
make mrproper<br />
make xconfig<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins