Hi Wolfgang,
From: "Wolfgang Wershofen"
mein Problem: Bei der ISDN-Einwahl mit Dial-on-demand wird ja sowohl im ip-up als auch im ip-down Skript jedesmal die Firewall (SuSEFirewall der 7.0 mit ipchains) neu intialisiert. Vom Aufruf von /sbin/SuSEfirewall bis zur Vollzugsmeldung in /var/log/messages dauert es auf dem Rechner (PII 400) so ca. 15 Sekunden. Das kommt mir verdammt lang vor und führt auch zu weiteren Problemen, wenn während des ip-down Skripts schon wieder eine neue Internet-Verbindung aufgebaut werden soll. In diesem Falle geraten die Firewall-Regeln nämlich völlig durcheinander und sperren den kompletten Server (siehe auch Thread "Netzwerk bleibt stehen").
Während ich das Problem mit dem simultanen Ab- und Aufbau nun über ein Lock-File gelöst habe, stört mich diese lange Wartezeit zum Aufbau der Firewall-Regeln doch ziemlich. Im ungünstigsten Falle dauert es immerhin 30 Sekunden, bevor die Internet-Verbindung wieder aufgebaut werden kann. Meine Frage daher:
Gibt es "schnellere" Firewalls? Lohnt z.B. der Umstieg auf die SuSEFirewall2 mit iptables? Oder gibt es noch andere Alternativen?
Der Umstieg auf iptables lohnt auf alle Faelle. Aber ob es die SuSEFirewall sein sollte? Du wirst zum Aufbau der Regeltabellen immer eine gewisse Zeitspanne benoetigen. Bei uns laeuft iptables, mit umfangreichen Regeln, Aufbau < 5s. mit freundlichen Grüßen Jörg Zimmermann ------------------------------------------- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072