Die anderen Teile sind noch besser und warten auf ihre Veroeffentlichung... ;-) Wir wollen ja aber nicht gleich das ganze Pulver verschiessen. Waere ja schade. :-)
Im Kernel 2.4 werden Masquerading und Filter getrennt sein. Wieso ? Im Prinzip schauen sich beide ein Packet an und entscheiden, was damit geschehen soll (verwerfen, neue Hülle drum). Wieso also die Trennung ? Es ist häufiger zu lesen, das beides zwei verschiedene Sachen sind, die nie hätten zusammenwachsen dürfen. Eine Logik, der ich nicht folgen kann. Jemand zur Erleuchtung hier ?
Von Felix Mack am Mo, 20. November 2000 um 19:04 #
ich bin mir nicht ganz sicher, hab mich weniger mit dem neuen iptables beschaeftigt, aber mit hilfe der trennung ist es moeglich, kompaktere firewallskripts zu schreiben, da weniger regeln als bisher aufgestellt werden muessen. mehr infos dazu finden sich in den linux-magazin artikeln, die ich als quellen verwendet habe.
> Im Kernel 2.4 werden Masquerading und > Filter getrennt sein. Wieso ?
Masquerading ist nur ein Teil der bei 2.4 verfuegbaren Funktionalitaet. Hier kommt die ganze NAT-Palette hinzu ([SD]NAT), welche erfordert, dass gewisse Entscheidungen schon vor dem Routing durchgefuehrt werden.
Die INPUT/FORWARD/OUTPUT Regeln finden jedoch alle erst danach statt.
Ausserdem *sind* NAT (damit Masquerading) und Filter vollkommen unterschiedliche Dinge.
Dank an den Autor und das Pro-Linux-Team
Wir wollen ja aber nicht gleich das ganze Pulver verschiessen. Waere ja schade. :-)
Gruss
demon
Angeblich gibt es wohl auch einige die auf Firewalls komplett verzichten und alles mit Masquerading blocken.
Im Prinzip schauen sich beide ein Packet an und entscheiden, was damit geschehen soll (verwerfen, neue Hülle drum). Wieso also die Trennung ?
Es ist häufiger zu lesen, das beides zwei verschiedene Sachen sind, die nie hätten zusammenwachsen dürfen. Eine Logik, der ich nicht folgen kann.
Jemand zur Erleuchtung hier ?
> Filter getrennt sein. Wieso ?
Masquerading ist nur ein Teil der bei 2.4
verfuegbaren Funktionalitaet. Hier kommt die
ganze NAT-Palette hinzu ([SD]NAT), welche
erfordert, dass gewisse Entscheidungen schon
vor dem Routing durchgefuehrt werden.
Die INPUT/FORWARD/OUTPUT Regeln finden jedoch
alle erst danach statt.
Ausserdem *sind* NAT (damit Masquerading) und
Filter vollkommen unterschiedliche Dinge.
cu
Benj
(der bald im besitz einer firewall sein wird )
Ich hoffe das der zweite Teil baldigst folgt.