Hallo Michael,
Michael Molthagen
Hallo Dieter, danke für Deine Antwort! Am 23. Oct 2000 schrieb Dieter Kluenter:
...
Was mich wundert ist, daß das Netzwerk so unmotiviert ausfällt. Nicht ganz, sondern nur hier und da. Ping wird beantwortet, aber Proxy, Telnet, POP3, SMTP, NNTP sind tot. Als wenn einige Dienste ausfallen (inetd wo- möglich als versagender Dienst?), aber nicht alle.
Das alles klingt nach einem tcp/ip Problem des Kernels.
Hm... durchaus denkbar. Obwohl ich auch inetd im Verdacht habe.
Ich habe in den letzten 5 Wochen zwei Seminare zum Thema Firewall durchgefuehrt, die von dir beschriebenen Symptome wurden vereinzelt von Seminarteilnehmern beschrieben.
Welchen Kernel benutz ihr,
Hier läuft 2.2.16-SuSE.
habt ihr einen eigenen Kernel kompiliert,
Ja.
wenn ja, mit welchen Parametern ?
Das wird eine längere Liste...
Unabhaengig vom Kernel haben wir in den Seminaren mal die Kernel Parameter eingehender analysiert und eine Empfehlung erarbeitet. Die damit kompilierten Kernel haben meines Wissens nach noch keine Aussetzer gezeigt.
Ich suche 'mal 'raus, was interessant sein könnte:
[Kernel Parameter entfernt]
CONFIG_IP_MASQUERADE_ICMP=y
Das wuerde ich auf 'no' setzen, denn ein Host muss keinen ping ins Internet absetzen, erhoeht aber auch den traffic. [...]
CONFIG_SYN_COOKIES=y CONFIG_FILTER=y hat zwar keinen direkten Einfluss, wuerde ich aber beide aus Sicherheitsgruenden auf 'no' setzen. CONFIG_IP_FIREWALL_NETLINK=y Auch dies wuerde ich auf 'no' setzen. # Dann wuerde ich noch CONFIG_ARPD=y setzen, wird zwar nur empfohlen bei einer groesseren Anzahl Hosts, da der Kernel nur eine begrenzte Anzahl von Adressen behaelt, kann aber nicht schaden, waere vielleicht sogar die Quelle deines Uebels. Ist aber nur Spekukation
Sonst habe ich keine Ungereimtheiten in den Kernel-Parametern entdecken koennen. .
<<<
Welche ipchains Regeln sind definiert worden ?
Via dem SuSE-Firewall-Skript (2.1.5):
[...] da kann man ja nicht viel falsch machen ;-)
Bei Bedarf liefere ich gerne die komplette Ausgabe von ipchains -L, aber die ist freilich etwas länger, also besser nicht über die Liste. 20 Bildschirmseiten a 25 Zeilen möchte ich Euch lieber nicht zumuten...
Danke für alle Tipps, Infos, Hinweise und jegliche Hilfe :-)
Gruss Dieter -- Dieter Kluenter mailto: dkluenter@gmx.de http: http://www.l4b.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Dieter, Am 23. Oct 2000 schrieb Dieter Kluenter:
...
CONFIG_IP_MASQUERADE_ICMP=y
Das wuerde ich auf 'no' setzen, denn ein Host muss keinen ping ins Internet absetzen, erhoeht aber auch den traffic.
Das leuchtet ein.
[...]
CONFIG_SYN_COOKIES=y CONFIG_FILTER=y hat zwar keinen direkten Einfluss, wuerde ich aber beide aus Sicherheitsgruenden auf 'no' setzen.
Das leuchtet mir nun - in Bezug auf Sicherheit - weniger ein. CONFIG_SYN_COOKIES=y würde ich wegen DoS-Angriffen als wichtig erachten, CONFIG_FILTER=y allgemein eher weniger.
CONFIG_IP_FIREWALL_NETLINK=y Auch dies wuerde ich auf 'no' setzen.
Ja.
Dann wuerde ich noch CONFIG_ARPD=y setzen, wird zwar nur empfohlen bei einer groesseren Anzahl Hosts, da der Kernel nur eine begrenzte Anzahl von Adressen behaelt, kann aber nicht schaden, waere vielleicht sogar die Quelle deines Uebels. Ist aber nur Spekukation
Diesen Parameter habe ich nun gar nicht gefunden. Ist der erst ab Kernels höher als 2.2.16-SuSE verfügbar? Grüße, Michael --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (2)
-
dkluenter@gmx.de
-
michael@molthagen.de