Aufbau Firewall-Regeln dauert 15 Sekunden
Moin Moin, mein Problem: Bei der ISDN-Einwahl mit Dial-on-demand wird ja sowohl im ip-up als auch im ip-down Skript jedesmal die Firewall (SuSEFirewall der 7.0 mit ipchains) neu intialisiert. Vom Aufruf von /sbin/SuSEfirewall bis zur Vollzugsmeldung in /var/log/messages dauert es auf dem Rechner (PII 400) so ca. 15 Sekunden. Das kommt mir verdammt lang vor und führt auch zu weiteren Problemen, wenn während des ip-down Skripts schon wieder eine neue Internet-Verbindung aufgebaut werden soll. In diesem Falle geraten die Firewall-Regeln nämlich völlig durcheinander und sperren den kompletten Server (siehe auch Thread "Netzwerk bleibt stehen"). Während ich das Problem mit dem simultanen Ab- und Aufbau nun über ein Lock-File gelöst habe, stört mich diese lange Wartezeit zum Aufbau der Firewall-Regeln doch ziemlich. Im ungünstigsten Falle dauert es immerhin 30 Sekunden, bevor die Internet-Verbindung wieder aufgebaut werden kann. Meine Frage daher: Gibt es "schnellere" Firewalls? Lohnt z.B. der Umstieg auf die SuSEFirewall2 mit iptables? Oder gibt es noch andere Alternativen? Danke für jede Hilfe. Viele Grüße Wolfgang
Hi Wolfgang, From: "Wolfgang Wershofen" <wolfgang@wershofen.com> Sent: Tuesday, December 04, 2001 1:27 PM
mein Problem: Bei der ISDN-Einwahl mit Dial-on-demand wird ja sowohl im ip-up als auch im ip-down Skript jedesmal die Firewall (SuSEFirewall der 7.0 mit ipchains) neu intialisiert. Vom Aufruf von /sbin/SuSEfirewall bis zur Vollzugsmeldung in /var/log/messages dauert es auf dem Rechner (PII 400) so ca. 15 Sekunden. Das kommt mir verdammt lang vor und führt auch zu weiteren Problemen, wenn während des ip-down Skripts schon wieder eine neue Internet-Verbindung aufgebaut werden soll. In diesem Falle geraten die Firewall-Regeln nämlich völlig durcheinander und sperren den kompletten Server (siehe auch Thread "Netzwerk bleibt stehen").
Während ich das Problem mit dem simultanen Ab- und Aufbau nun über ein Lock-File gelöst habe, stört mich diese lange Wartezeit zum Aufbau der Firewall-Regeln doch ziemlich. Im ungünstigsten Falle dauert es immerhin 30 Sekunden, bevor die Internet-Verbindung wieder aufgebaut werden kann. Meine Frage daher:
Gibt es "schnellere" Firewalls? Lohnt z.B. der Umstieg auf die SuSEFirewall2 mit iptables? Oder gibt es noch andere Alternativen?
Der Umstieg auf iptables lohnt auf alle Faelle. Aber ob es die SuSEFirewall sein sollte? Du wirst zum Aufbau der Regeltabellen immer eine gewisse Zeitspanne benoetigen. Bei uns laeuft iptables, mit umfangreichen Regeln, Aufbau < 5s. mit freundlichen Grüßen Jörg Zimmermann ------------------------------------------- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Am Dienstag, 4. Dezember 2001 13:27 schrieb Wolfgang Wershofen:
Gibt es "schnellere" Firewalls? Lohnt z.B. der Umstieg auf die SuSEFirewall2 mit iptables? Oder gibt es noch andere Alternativen?
Bau Dir ein Firewall per Hand, wenn Du nur das Device ippp0 reinstellst und nicht dessen IP, muss die Firewall beim Verbindungsaufbau nicht neu aufgebaut werden. Meine wird beim hochfahren des Rechners gestartet und beim runterfahren beendet, der Verbindungsaufbau wird dadurch nicht verzögert. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
On Tuesday, 4. December 2001 21:12, Manfred Tremmel wrote:
Am Dienstag, 4. Dezember 2001 13:27 schrieb Wolfgang Wershofen:
Gibt es "schnellere" Firewalls? Lohnt z.B. der Umstieg auf die SuSEFirewall2 mit iptables? Oder gibt es noch andere Alternativen?
Bau Dir ein Firewall per Hand, wenn Du nur das Device ippp0 reinstellst und nicht dessen IP, muss die Firewall beim Verbindungsaufbau nicht neu aufgebaut werden. Meine wird beim hochfahren des Rechners gestartet und beim runterfahren beendet, der Verbindungsaufbau wird dadurch nicht verzögert.
Weiß jemand einen Grund warum SuSE seine Firewall2 so ausgelegt hat, daß jedesmal nach Ein/Abwahl die gesamten Regeln neu geladen werden? -- Gruss Peter
Am Mittwoch, 5. Dezember 2001 um 11:31 schrieben Peter:
On Tuesday, 4. December 2001 21:12, Manfred Tremmel wrote:
Am Dienstag, 4. Dezember 2001 13:27 schrieb Wolfgang Wershofen:
Gibt es "schnellere" Firewalls? Lohnt z.B. der Umstieg auf die SuSEFirewall2 mit iptables? Oder gibt es noch andere Alternativen?
Bau Dir ein Firewall per Hand, wenn Du nur das Device ippp0 reinstellst und nicht dessen IP, muss die Firewall beim Verbindungsaufbau nicht neu aufgebaut werden. Meine wird beim hochfahren des Rechners gestartet und beim runterfahren beendet, der Verbindungsaufbau wird dadurch nicht verzögert.
Weiß jemand einen Grund warum SuSE seine Firewall2 so ausgelegt hat, daß jedesmal nach Ein/Abwahl die gesamten Regeln neu geladen werden?
Darüber wundere ich mich eigentlich auch, wenn es den Weg, den Manfred beschrieben hat, tatsächlich gibt. Wenn man ipchains statt einer IP-Adresse ein Device mitgeben kann, ist die Sache wirklich merkwürdig. Viele Grüße Wolfgang
Peter Bossy <p.bossy@vorwerk-automotive.de> writes:
On Tuesday, 4. December 2001 21:12, Manfred Tremmel wrote:
Am Dienstag, 4. Dezember 2001 13:27 schrieb Wolfgang Wershofen: [...] Weiß jemand einen Grund warum SuSE seine Firewall2 so ausgelegt hat, daß jedesmal nach Ein/Abwahl die gesamten Regeln neu geladen werden?
Vermutlich wegen der dynamisch zugewiesenen Adresse, die ja nur bei bestehender Verbindung in die Filterregeln eingebaut werden kann. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
participants (5)
-
Dieter Kluenter -
Jörg Zimmermann -
Manfred Tremmel -
Peter Bossy -
Wolfgang Wershofen