© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hannes Widmer <h.widmer(at)cybernet.ch> wrote:
> Morgen Oli
> [...]
> > Wenn Du Deiner Filtersoftware nicht traust, dann setze eine
> > weitere zusätzlich ein. Du kannst z.B. IPFilter und IPFW
> > gleichzeitig benutzen: Da beide aus völlig unterschiedli-
> > cher Entwicklungsbasis stammen, ist es sehr unwahrschein-
> > lich, daß beide einen Bug haben, der dasselbe Paket fälsch-
> > licherweise durchläßt.
>
> hmm, ipfilter und ipfw ... Klemmt sich dies niergends ?...
Nein, das funktioniert problemlos. Viele Leute haben so-
wohl IPFilter als auch IPFW im Kernel, weil sie IPFW für
Trafficshaping benötigen (Dummynet), zum Filtern aber lie-
ber IPFiletr nehmen wollen (aus Gewohnheit, Portabilität,
Ideologie oder sonstigen Gründen). Aber niemand hindert
Dich daran, mit beiden gleichzeitig zu filtern.
> Aber wer filtert dann zuerst?... 2 regelsätze immer
> anpassen etc. ???
Wenn Du IPFilter statisch im kernel hast und IPFW als Modul
lädst, dann kommt IPFilter zuerst (IIRC). Anderenfalls
weiß ich's nicht genau, aber man kann das ja ausprobieren.
Du mußt dann natürlich immer beide Regelsätze pflegen und
konsistent halten. Es sollte aber auch möglich sein, nur
einen »Master-Satz« zu haben und daraus die Filter-Regeln
für beide zu generieren.
Wer seine Paranoia befriedigen will, darf nunmal keinen
Aufwand scheuen. ;-)
> > Wenn man eine Firewall für eine Firma konzipiert (oder um
> > irgendwelche kommerziellen Sachen abzusichern), dann ist das
> > natürlich ganz was anderes -- aber dann hat man auch die
> > Resourcen (sprich: Geld), um einen höheren Aufwand zu
> > treiben, denn man hat ja auch mehr zu verlieren, und man
> > stellt ein attraktiveres Angriffsziel dar.
>
> Ok, dies ist mir klar. Was kostet dies eigentlich ca
> für sagen wir ein KMU mit ca 30 Clients ?
Es gibt fertige Produkte in dievrsen Ausbaustufen für sowas,
z.B. die GeNUgates, die wir (secnetix) auch verkaufen und
supporten. Sorry für die Schleichwerbung, aber immerhin
sind diese Geräte auch BSD-basiert. ;-)
Aber natürlich kann man sich sowas auch selbst zusammen-
basteln, obgleich das schon ziemlich aufwendig ist, wenn
man es ebenso gut machen möchte.
Die Kosten hängen in erster Linie davon ab, welche Band-
breite Du benötigst (somit nur indirekt von der Anzahl der
Benutzer), denn das bestimmt, wie »fett« die Kiste sein
muß. Insbesondere, wenn Verschlüsselung im Spiel ist (wenn
z.B. ein SSL-Gateway benötigt wird), erfordert das eine
entsprechend leistungsfähigere CPU.
Bei einem eher gemächlichen DSL-Uplink (dazu würde ich auch
2 MBit noch zählen) reicht noch relativ genügsame Hardware.
> Kann man so basiswissen
> irgendwo gut dokumentiert nachlesen ?
Es gibt tausendundeins Bücher zum Thema Firewalls. :-)
Wenn Du Dir ein beliebiges herausfischst, das nicht älter
als ~ zwei Jahre ist, kannst Du eigentlich nicht viel
falsch machen.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 22 Jun 2004 - 10:57:55 CEST