Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Firewall</strong> - Skripte mit der alten Syntax in dem neuen Kernel zu verwenden. Dieses<br />
Werkzeug sollte aber ausschließlich zu Migrationszwecken vom der Kernelversion <strong>2.0</strong> auf<br />
die neuere Version <strong>2.2</strong> verwendet werden. Die genauen Unterschiede werden im<br />
Abschnitt Unterschiede zwischen ipchains <strong>und</strong> ipfwadm <strong>und</strong> dem Anschnitte Anwendung<br />
des ipfwadm-wrapper Skriptes erläutert.<br />
12.8 Beschreibung des Aufbaus der <strong>Firewall</strong><br />
Dieser Abschnitt beschreibt alles notwendige, was man zum Aufbau der Linux <strong>2.2</strong> <strong>Firewall</strong><br />
wissen muß.<br />
Wie Pakete über die <strong>Firewall</strong> hinweg geroutet werden.<br />
Die <strong>Firewall</strong> beherrscht drei Arten von Regeln. Diese Regeln werden firewall chains oder<br />
auch nur chains genannt. Die drei chains sind in input, output <strong>und</strong> forward unterteilt.<br />
Wenn ein Paket eintrifft, beispielsweise der Ethernet Karte, dann benutzt der Kernel die<br />
input Regeln. Wenn das Paket diesen Filter erfolgreich passiert hat, dann wird es an die<br />
nächste Funktion übergeben, die routing genannt wird. Hier wird entschieden, aus<br />
welchem der Netzwerk- Karten das Paket austreten darf. Linux unterstützt bis zu 20<br />
interne Ethernet- Interfaces <strong>und</strong> bis zu 4 ISDN Karten mit je 2 Kanälen (Patch<br />
erforderlich). Danach wird es aus einem der Interfaces in ein Netzwerk versendet. Bevor<br />
es das Interface passieren kann, wird es nochmals in der output chain gefiltert.<br />
Eine chain ist eine Checkliste von rules, also Regeln. Jede Regel prüft nun das Aussehen<br />
des Headers des Paketes, <strong>und</strong> entscheidet dann, was zu tun ist. Im Gegensatz zu<br />
anderen <strong>Firewall</strong>s wird das Paket mit allen Regeln in einer chain verglichen. Am Ende der<br />
chain angelangt, entscheidet der Kernel danach, was in der chain policy steht, <strong>und</strong> führt<br />
die darin enthaltenen Befehle aus. Normalerweise wird das Paket mit reject<br />
<strong>zurück</strong>gewiesen, oder mit deny verworfen.<br />
Dieses ASCII Diagramm zeigt auf, was mit dem Paket im Kernel passiert:<br />
----------------------------------------------------------------<br />
| ACCEPT/ lo interface |<br />
v REDIRECT |<br />
--> C --> S --> ______ --> D --> ~~~~~~~~ --> local? -----> _______ --><br />
h -> a |input | e {Routing } __|____ |output |ACCEPT<br />
e | n |Chain | m {Decision} |forward|---->|Chain |<br />
c | i |______| a ~~~~~~~~ |Chain | ^ |_______|<br />
k | t | s | ^ |_______| | |<br />
s | y | q | | | | |<br />
u | | v e v | | | v<br />
m | | DENY/ r Local Process v | DENY/<br />
| | v REJECT a | DENY/ | REJECT<br />
| |DENY d | REJECT |<br />
v | e -------+---------------------<br />
DENY| |<br />
------------------------------<br />
Beschreibung der einzelnen Abschnitte:<br />
Checksum:<br />
Die Checksum ist eine Prüfsumme in dem IP- Header, die feststellt, ob ein Paket<br />
bei der Übertragung verändert wurde. Stimmt die Prüfsumme nicht, so wird das<br />
Paket abgelehnt.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins