Login
Newsletter
Werbung

Di, 22. Februar 2005, 13:08

Software::Kernel

Kernel 2.6.12 mit verbesserten IPv6-Filtern

Die Version 2.6.12 des Linux-Kernels soll einen Paket-Filter erhalten, der IPv6 besser unterstützen soll.

Die mit dem 2.4-Linux-Kernel eingeführte Netfilter-Infrastruktur basiert auf Filterregeln, die direkt aus dem User-Space in den Kernel geladen und verarbeitet werden. Bereits jetzt erlaubt das System eine zustandslose Filterung von Paketen der Version 4 und 6 des Internet-Protokolls. Die Einschränkung der jetzigen Version ist allerdings, dass das so genannte »stateful packet filtering« nur bei IPv4 benutzt werden kann.

Während das Stateless-Konzept eher ein rudimentäres Firewall-Konzept, das bereits seit Beginn der 90er Jahre existiert, darstellt, erlaubt das »stateful packet filtering« weit mehr. Im Gegensatz zu einer Stateless-Firewall erlaubt »stateful packet filtering« unter anderem, Pakete nach den Zuständen der TCP-Connection zu filtern und zu überprüfen. Wenn die Prüfung ergibt, dass eine Verbindung legitim ist, wird diese in eine Verbindungstabelle aufgenommen. Folgepakete werden nun einfach daraufhin überprüft, ob sie einer auf diese Weise überprüften Verbindung angehören. Aus diesem Grund hängt die Prüfgeschwindigkeit einer Stateful-Firewall auch nicht davon ab, wie komplex das verwendete Regelwerk ist.

Medienberichten zu Folge soll die Limitierung mit der Einführung des Kernels 2.6.12 aufgehoben werden. Harald Welte, Maintainer des Filter-Subsystems, erklärte letzte Woche, dass ein erheblicher Anteil der Arbeit für eine Implementierung der Ipv6-Funktionalität verbraucht wird. Welte arbeitet an einer Plug-In-Architektur, die es erlauben wird, beide Protokolle, IPv4 und IPv6, einzusetzen. Ferner wird es die Architektur Entwicklern ermöglichen, eigene Plug-Ins für ältere Protokolle zu schreiben.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung