Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Für diejenigen, die sich bereits mit dem ipfwadm Toolkit unter Linux <strong>2.0</strong> auskennen, seien<br />
die Ergänzungen in dem Abschnitt Unterschiede zwischen ipchains <strong>und</strong> ipfwadm <strong>und</strong> den<br />
Abschnitt Wie man den `ipfwadm-wrapper' einsetzt empfohlen.<br />
12.1 Was ist ipchains ?<br />
Linux <strong>2.2</strong> ipchains ist eine komplette Neuentwicklung des Linux IPv4 <strong>Firewall</strong> Codes,<br />
der hauptsächlich auf den Quellen von BSD 4.4 mit all seinen herausragenden<br />
Eigenschaften beruht. Es ist eine Portierung des ipfw Toolkits, welches aus der Feder<br />
von Darren Reed stammt, der auch an den Portierungen auf Solaris 2.5/2.6/2.7 <strong>und</strong> den<br />
BSD Derivaten NetBSD, OpenBSD <strong>und</strong> FreeBSD mitgewirkt hat.<br />
1<strong>2.2</strong> Verbesserungen in Linux <strong>2.2</strong><br />
Der ältere Linux <strong>Firewall</strong> Code besaß einige Einschränkungen, wie z.B. 32 Bit Counter <strong>für</strong><br />
die TCP/IP Sequenznummern, die insbesondere bei HiSpeed Netzwerken schnell zu<br />
einen wrap aro<strong>und</strong> führten. Dies ermöglichte einige neue Arten des session<br />
hijacking.<br />
Desweiteren konnte der ältere Linux Kernel nicht andere Protokolle, wie IPX oder SPX<br />
handeln. Es fehlten darüber hinaus inverse Filterregeln <strong>und</strong> Eigenschaften, wie port<br />
redirection. Das komplette Design der Filterregeln wurde von der unübersichtlichen<br />
Vermischung von Regeln <strong>für</strong> IP-Adressen <strong>und</strong> Regeln <strong>für</strong> Ports zu einem Design mit<br />
Ketten (chains) von Filterregeln hin verändert. Die Chains verfolgen eine gänzlich andere<br />
Architektur, sodaß es zwar möglich ist, die Regeln von ipfwadm fast 1:1 zu übersetzen<br />
(z.B. mit ipfwad2ipcheins), man aber das Design überdenken sollte, insbesondere<br />
hinsichtlich der Wartbarkeit. Die Managebarkeit der <strong>Firewall</strong> Regeln konnte somit<br />
erheblich verbessert werden.<br />
12.3 Update von Linux <strong>2.0</strong> Kerneln ?<br />
Momentan wird ipchains in allen neuen <strong>2.2</strong> er Kerneln mitgeliefert. Für Kernel <strong>2.0</strong>.35<br />
<strong>und</strong> <strong>2.0</strong>.36 gibt es jedoch einen Patch, sodaß der Umstieg auf den kompletten Kernel <strong>2.2</strong><br />
mit glib2 nicht erforderlich ist. Dieser Patch ist allerdings inkompatibel zu den Funktionen<br />
ipportfw <strong>und</strong> ipautofw, sodaß diese Funktionen beim Kompilieren des Kernels deaktiviert<br />
werden müssen. Wer diese ohnehin nicht benötigt, der kann sich viel Arbeit sparen.<br />
12.4 Die Homepage von IPCHAINS<br />
Die offizielle Homepage ist: The Linux IP <strong>Firewall</strong> Chains Page<br />
Hier findet sich auch eine Mailing Liste <strong>für</strong> BUGS, Diskussionen <strong>und</strong> Programmierung der<br />
<strong>Firewall</strong>. Um sich anzumelden, sollten man eine e-Mail an die Adresse ipchainsrequest@wantree.com.au<br />
senden. Im Inhalt der e-Mail sollte "subscribe" stehen (nicht im<br />
Subject!). Um an die Liste zu mailen, kann wie üblich eine e-Mail an die Adresse<br />
ipchains@wantree.com.au gesendet werden.<br />
12.5 Fallstricke mit Kernel Optionen <strong>für</strong> <strong>LINUX</strong> <strong>2.0</strong> <strong>und</strong> <strong>2.2</strong><br />
Die Vielzahl von Adaptern <strong>und</strong> möglichen Kernel-Einstellungen sind <strong>für</strong> Anfänger nicht nur<br />
verwirrend, sondern können auch die <strong>Firewall</strong> völlig unsicher machen. Hier eine<br />
Diskussion der Probleme bei einigen Kernel - Einstellungen:<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins