![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Welches Problem existiert sonst noch ? Eine Verletzung der Grundregeln:
Es kommt entscheidend auf die Reihenfolge der Regeln an. Diese werden der Reihe nach abgearbeitet. Trifft eine Regel zu, dann wird das Paket freigegeben, auch wenn eine spätere Regel diese Regel wieder aufhebt, da nach einem Match (zutreffende Regel) die Firewall die Regeln nicht weiter durchläuft. Anti spoofing Regeln müssen alle vor allen anderen Regeln abgearbeitet werden.
Darum sollte man sich merken: Die Reihenfolge des gesamten Regelwerkes ist nicht beliebig. Eine Besonderheit stellen aber die anti spoofing Regeln dar. Diese wirken ausschließlich auf den IP - Stack (nicht TCP - Stack!). Diese müssen immer zuerst in den Firewallregeln erscheinen. Da die Firewallregeln der Reihe nach abgearbeitet werden, scheitern gespoofte Pakete schon an der ersten Firewallregel im IP-Stack. Die Pakete können daher nicht an den TCP Stack weitergegeben werden, da diese unverzüglich vernichtet werden. Der Unterschied liegt in der Wirkung der Firewallregeln auf den IP-Stack und auf den TCP Stack. Anti Spoofing Regeln wirken nur auf den IP-Stack, die anderen Regeln wirken auch auf den TCP Stack. Es ist wichtig, diese Tatsache verstanden zu haben, auch wenn hier zwei völlig voneinander unabhängige Funktionen mit ein- und demselben Werkzeug administriert werden. Da im Kernel bei eintreffenden Paketen immer zuerst der IP-Stack zuständig ist, und dann erst der TCP Stack, erreichen diese Pakete den TCP Stack nicht. Dies hat zur Folge, daß die Firewall erheblich schneller arbeitet. Siehe auch Firewall Tuning. Es ist wichtig, daß man beim Aufbau der Firewall ein wenig versucht, mit der Default Policy und Firewallregeln herum zu spielen. Wer die Thematik als Systemadministrator der Firewall begriffen hat, der sollte auch stets seinen Stellvertreter in die Problematik einweihen, damit nicht bei vermeintliche "kleinen" Änderungen große Katastrophen eintreten.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |