| Internet |
IP-Filter |
Applikationsserver
z.B. Mail-Gateway
z.B. WWW-Proxy |
IP-Filter |
Intranet |
| Internet |
IP-Filter und
Applikationsserver
z.B. Mail-Gateway
z.B. WWW-Proxy |
Intranet |
Filterkriterien sind u.a.:
- Protokollart: TCP, UDP, ICMP, ...
- Socket-Nummer (für TCP/UDP)
- Paketart: SYN/ACK, Daten, ICMP Echo Request, ...
- Paket-Quelladresse
- Paket-Zieladresse
Zwei einfache Beispiele:
- Quelladresse: Intranet
- Zieladresse: beliebig
- Ziel-Port: 80 (www)
- Quelladresse: beliebig
- Zieladresse: Intranet
- Quell-Port: 80 (www)
| Generation |
ab Kernel-Version |
|
| 1. |
1.1 |
BSD ipfw-Firewall-Software |
| 2. |
2.0 |
ipfwadm |
| 3. |
2.2 |
ipchains |
| 4. |
2.4 (2.3.15) |
iptables (netfilter) |
Kernel-Konfiguration: make menuconfig im Verzeichnis /usr/src/linux
| Netzwerk-Sockets |
| TCP/UDP-Protokolle |
Sonstige Protokolle |
| IP-Routing-Software |
| Ethernet-Treiber |
ISDN-Treiber |
Sonstige Treiber |
- Datenfluß 1 sei Ethernet-Treiber -> IP-Routing-Software
- Datenfluß 2 sei IP-Routing-Software -> TCP/UDP-Protokolle -> Netzwerk-Sockets
- Datenfluß 3 sei IP-Routing-Software <-> IP-Routing-Software
- Datenfluß 4 sei Netzwerk-Sockets -> TCP/UDP-Protokolle -> IP-Routing-Software
- Datenfluß 5 sei IP-Routing-Software -> ISDN-TReiber
- Eingehende Daten (via Ethernet) zum Netzwerkprogramm: 1 -> 2
- Ausgehende Daten (via ISDN) vom Netzwerkprogramm: 4 -> 5
- Routing Ethernet nach ISDN: 1 -> 3 -> 5
- Daten über Loopback-Interface: 4 -> 3 -> 2
| |
ipfwadm und ipchains |
iptables (netfilter) |
| Eingangsregel für |
Datenfluß 1 |
Datenfluß 2 |
| Weiterleitungsregel für |
Datenfluß 3 |
Datenfluß 3 |
| Ausgangsregel für |
Datenfluß 5 |
Datenfluß 4 |
| Die Weiterleitungsregel für Datenfluß 3 wird für beide Richtungen definiert |