Inhalt:
Netfilter-Firewalls im Grosseinsatz
| Event: | Linux-Info-Tag 2006 |
| Speaker: | Frank Becker / Maik Hentsche |
| Room: | spezielle Themen (HSZ/203) |
| Day/Time: | 2006-10-08 / 17:00 |
| Length: | 1:00 |
| Track: | Vorträge |
| Ical: | Download |
Netfilter/iptables dient im Linuxkernel seit Version 2.4 als Paketfilter. Geschuldet der vielfältigen Möglichkeiten dieses Frameworks, wird seine Konfiguration ziemlich schnell komplex. Das steigert sich, werden mehrere solcher Firewalls im Netzwerk plaziert. Damit noch nicht genug, es fallen Tonnen von Logdateien an, die nur konsolidiert was aussagen. Der Ausfall solch einer Firewall fuehrt sofort zu schrillen Tönen des Telefons und der frustrierten Frage "Warum geht das Internet nicht?".
Konzepte und Tools, mit denen man den Zoo von Paketfilterregeln auf verteilten ausfallsicheren Firewalls im Griff behaelt, stellt der Vortrag vor.
Im Detail sind das:
- iptables (Grundsätzliche Konzepte des Linux Paketfilters)
- Shorewall (textbasiertes Konfigtool)
- ulogd/Specter (Log-Daemon)
- Prelude (Log-Framework)
- webfwlog (grafische Log-Auswertung)
- heartbeat (Clustersoftware)
- ucarp (Clustersoftware)
- conntrackd (Firewall Zustand/State Synchronisation)