arbeitskreise:fachschafts-service:it:netz-infrastruktur:firewall
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Nächste Überarbeitung | Vorherige Überarbeitung | ||
arbeitskreise:fachschafts-service:it:netz-infrastruktur:firewall [27.05.2017 11:40] – angelegt Dominik Rimpf | arbeitskreise:fachschafts-service:it:netz-infrastruktur:firewall [02.11.2017 11:31] (aktuell) – [ToDo] Daniel A. Maierhofer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Firewall ====== | ====== Firewall ====== | ||
+ | ===== Erklärungen ===== | ||
+ | ==== stateless ==== | ||
+ | Jedes Paket wird einzeln analysiert und auf der Grundlage der festgelegten Regeln eine Entscheidung getroffen. Aber ohne den Zusammenhang zwischen den einzelnen Paketen zu beachten. Die Firewall merkt sich nicht ob Pakete zu einer bereits existierenden Verbindung gehören. | ||
+ | Vorteil: recht ressourcenschonend, | ||
+ | ==== stateful ==== | ||
+ | Firewall erkennt mithilfe diverser Memory-Techniken Zusammenhänge zwischen einzelnen Paketen und lässt sie dynamisch basiert passieren. | ||
+ | Vorteil: flexibler Paketfilter, | ||
+ | Nachteil: höherer Ressourcenverbrauch | ||
+ | |||
+ | ===== pfsense ===== | ||
+ | Link zur Projektseite: | ||
+ | |||
+ | Grundsätzlich kostenlose Firewall Distribution auf Basis von FreeBSD. Bei Bedarf kann ein Service-Level-Agreement abgeschlossen werden. | ||
+ | |||
+ | Vorteile: | ||
+ | * stateful Firewall | ||
+ | * Web-Frontend zur Verwaltung | ||
+ | * Bereits viele vordefinierte Regeln für die gängigsten Dienste (VPN usw.) | ||
+ | * Bringt nette Features wie Captive-Portal für WLAN mit | ||
+ | |||
+ | Nachteile: | ||
+ | * Bei hohem Traffic wird starke Hardware benötigt | ||
+ | TBD | ||
+ | |||
+ | ===== nftables ===== | ||
+ | Link zur Projektseite: | ||
+ | |||
+ | Linux-Kernel-Subsystem zum filtern von Datenpaketen. Wie sein Vorgänger iptables ist nftables eine stateless Firewall. | ||
+ | |||
+ | Vorteile: | ||
+ | * Auf jeder Linux-Distribution vorhanden | ||
+ | * Benötigt keinen eigenen Server/VM | ||
+ | |||
+ | Gut Dokumentiert im [[ https:// | ||
+ | |||
+ | |||
+ | ===== iptables ===== | ||
+ | * Beispielkonfiguration für / | ||
+ | |||
+ | < | ||
+ | *filter | ||
+ | :INPUT DROP [0:0] | ||
+ | :FORWARD DROP [0:0] | ||
+ | :OUTPUT ACCEPT [0:0] | ||
+ | -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT | ||
+ | -A INPUT -p icmp -j ACCEPT | ||
+ | -A INPUT -m state --state RELATED, | ||
+ | -A INPUT -i lo -j ACCEPT | ||
+ | -A INPUT -p tcp -j REJECT --reject-with tcp-reset | ||
+ | -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable | ||
+ | -A INPUT -j REJECT --reject-with icmp-proto-unreachable | ||
+ | COMMIT | ||
+ | </ |
Die hier im BuFaTa ET Wiki dargestellten Arbeitsdokumente sind Einzelbeiträge der jeweiligen Autoren und i.d.R. nicht repräsentativ für die BuFaTa ET als Organisation. Veröffentlichte Beschlüsse und Stellungnahmen der BuFaTa ET befinden sich ausschließlich auf der offiziellen Homepage.
arbeitskreise/fachschafts-service/it/netz-infrastruktur/firewall.1495878009.txt.gz · Zuletzt geändert: 27.05.2017 11:40 von Dominik Rimpf