Das Basissystem von FreeBSD enthält bereits drei Firewallpakete: IPFILTER (auch als IPF bekannt), IPFIREWALL (auch als IPFW bezeichnet) sowie das von OpenBSD übernommene PacketFilter (das auch als PF bezeichnet wird). Zusätzlich verfügt FreeBSD über zwei eingebaute Pakete für das sogenannte traffic shaping (dabei handelt es sich die Steuerung des Bandbreitenverbrauchs): altq(4) sowie dummynet(4). Dummynet steht traditionell in enger Verbindung mit IPFW, während ALTQ gemeinsam mit PF eingesetzt wird. Traffic Shaping für IPFILTER ist derzeit mit IPFILTER für NAT sowie Filterung und mit IPFW und dummynet(4) oder durch die Kombination von PF mit ALTQ möglich. Gemeinsam ist allen Firewallpaketen (IPF, IPFW sowie PF), dass sie Regeln einsetzen, um den Transfer von Datenpaketen auf und von Ihrem System zu regeln. Unterschiedlich sind aber die Art und Weise, wie dies realisiert wird. Auch die für diese Regeln verwendete Syntax ist unterschiedlich.
FreeBSD überlässt es dem Anwender, das Firewallsystem zu wählen, dass seinen Anforderungen und Vorlieben am Besten entspricht. Keines der im Basissystem enthaltenen Firewallpakete wird dabei als “das beste” angesehen.
IPFILTER hat etwa den Vorteil, dass dessen zustandsabhängige Regeln relativ einfach in einer NAT-Umgebung implementiert werden können. Außerdem verfügt es über einen eigenen FTP-Proxy, der die Erstellung von sicheren Regeln für ausgehende FTP-Verbindungen vereinfacht.
Da alle Firewalls auf der Untersuchung der Werte ausgewählter Kontrollfelder von Datenpaketen basieren, ist es für die Erstellung von Firewallregeln notwendig, die Funktionsweise von TCP/IP zu verstehen. Außerdem muss man dazu wissen, was die Werte der einzelnen Kontrollfelder bedeuten und wie diese während einer Verbindung eingesetzt werden. Eine gute Erklärung dieser Thematik finden Sie unter http://www.ipprimer.com/overview.cfm.
Zurück | Zum Anfang | Weiter |
Firewallkonzepte | Nach oben | Paket Filter (PF) von OpenBSD und ALTQ |
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<[email protected]>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an <[email protected]>.