Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
noch zu erweitern. Die Standardmäßige Länge der Queue kann <strong>für</strong><br />
Ethernet Karten noch getuned werden, <strong>für</strong> Modems ist dieser viel zu<br />
lang <strong>und</strong> das macht ihn <strong>für</strong> den 3-Wege Scheduler unbrauchbar.<br />
(Dessen Queues auf TOS basieren) Eine gute Idee ist es , diesen auf<br />
Werte zwischen 4 <strong>und</strong> 10 auf einem Modem oder einer ISDN-Karte zu<br />
setzen: Bei Kanal - Bündelung ist eine größere Queue nötig. In den<br />
Kerneln 2.1 (<strong>und</strong> <strong>2.2</strong>) ist es ein ifconfig Flag, was gesetzt werden muß<br />
(mit den aktuellen nettools), in Versionen <strong>2.0</strong> erfordert es einen Kernel<br />
Patch, um die Werte zu ändern.<br />
Soweit die Hinweise auf die TOS Manipulationen <strong>für</strong> Modem <strong>und</strong> ISDN<br />
Verbindungen. Hierzu muß nur die Syntax in dem /etc/ppp/ip-ip Skript in ifconfig $1<br />
txqueuelen verändert werden. Die einzusetzende Zahl hängt ganz von der<br />
Anwendung <strong>und</strong> der Modemgeschwindigkeit ab.<br />
Um das bestmögliche Ergebnis zu erzielen, muß man ein wenig herum<br />
experimentieren. Wenn die Queues zu klein sind, dann werden die<br />
Pakete verworfen. Natürlich hängen die Resultate auch davon ab, ob<br />
die Anwendungsprogramme auch ohne TOS Änderungen kooperieren.<br />
In dem Fall, daß sie nicht kooperieren, sind Änderungen bei den TOS<br />
Flags nötig. (alle mit Linux mitgelieferten Programme sind aber<br />
kooperierend)<br />
Diese Art Tuning ist als Aprilscherz 99 von der Zeitschrift c´t beschreiben worden.<br />
Tatsächlich ist hier aber auch ein Funken Wahrheit dran. Man kann seinem WWW-Server<br />
bei einem Provider so erhebliche Priorität vor benachbarten Servern geben, insbesondere<br />
wenn diese mit in ein- <strong>und</strong> derselben Collision Domain stehen. In vielen Fällen werden<br />
ausgehende Datenpakete von diesem Server von CISCO´s vorrangig geroutet.<br />
Markierung eines Paketes<br />
Dieses erlaubt komplexe <strong>und</strong> leistungsfähige Kombinationen mit Alexey Kuznetsov's<br />
neuer QoS Implementierung (Quality of Service), ebenso, wie das Forwarding in dem<br />
Kernel <strong>2.2</strong>, in welchem Pakete markiert werden können.<br />
12.11 Operationen auf eine ganze chain<br />
Eine sehr nützliche Eigenschaft von ipchains ist die Fähigkeit, Regeln in chains zu<br />
definieren, die sich auf ganze Gruppen von Hosts beziehen. Die chains können mit<br />
beliebigen Namen bezeichnet werden, solange sie nicht mit den internen chains<br />
kollidieren (input, output <strong>und</strong> forward oder den Anweisungen (MASQ,REDIRECT,<br />
ACCEPT, DENY, REJECT oder RETURN). Man sollte keine Großbuchstaben als chain<br />
Namen verwenden, da diese späteren Erweiterungen vorbehalten sind. Der Name einer<br />
chain darf maximal nur 8 Buchstaben lang sein.<br />
Anlegen einer neuen chain<br />
Die chain sollte den Namen test bekommen:<br />
ipchains -N test<br />
Ok, nun können Regeln in diese chain eingefügt werden.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins