|
|
|
|
|
|
Linux-Firewalls - Ein praktischer Einstieg
Andreas Lessig
Juli 2003
ISBN: 3-89721-357-5
|
|
|
Auf dieser Seite finden Sie aktuelle Hinweise zu Problemen und Fragen im Zusammenhang mit dem Buch oder den Quelltexten.
Sollten Sie eine Frage haben, die hier nicht beantwortet wird, oder Anregungen und Tips mit uns teilen wollen, so
würden wir gerne von Ihnen hören. Am einfachsten geht das per E-Mail:
kommentar@oreilly.de
|
1. Fragen zu den Quellen
2. Fragen zum Inhalt
FAQ
Betroffene Version: firewall-src-20030703.zip
Wie Reinhard Holler in [1] schreibt, führt der im Makefile verwendete Befehl
in einigen Installationen dazu, daß keine Datei firewall.ps erzeugt wird, sondern daß
das Buch gedruckt wird.
Als Abhilfe schlägt er vor, in den Zeilen 48, 52 und 65 des Makefiles den Befehl durch
dvips firewall -o firewall.ps
zu ersetzen. Ich habe ein neues Makefile an den Verlag geschickt. Es sollte in Kürze zum
Download bereitstehen.
Betroffene Versionen: firewall-src-20030703.zip und
firewall-src-20030827.zip
Das ist ein bekanntes Problem, das in [1] und
[2] ausgiebig diskutiert wurde. Übersetzt man das Buch mit
make pdf, so ist die Schrift im resultierenden PDF suboptimal, wenn man es im Acrobat
Reader betrachtet:
Das Problem besteht darin, daß es grundsätzlich zwei Arten von Schriften gibt, Bitmap-Fonts (z.B.
.pk-Fonts und Postscript Typ3) und auflösungsunabhängige Fonts (z.B. Postscript Typ 1, TrueType).
Während letztere nur die Form beschreiben und dadurch problemlos in jeder beliebigen Größe und
Auflösung dargestellt werden können, wurden erstere direkt für eine bestimmte Auflösung erstellt.
Will man sie in einer anderen Auflösung darstellen, so leidet dabei die Druckqualität.
Die TeX-Standardfonts liegen grundsätzlich als Bitmap-Fonts im .pk-Format vor. In moderneren Systemen existieren sie
zusätzlich auch als Postscript-Typ1-Fonts.
dvips verwendet standardmäßig die .pk-Fonts, die es in Postscript-Typ-3-Fonts umwandelt. Dies
führt zu dem beschriebenen Problem, wenn das Dokument nach der Umwandlung der Postscript-Datei in ein PDF
in einer anderen Auflösung dargestellt werden soll, als der, für die es generiert wurde.
Anmerkung: Diese Methode wird seit Version firewall-src-20030907.zip
standardmäßig verwendet.
Nach [4] kann man dvips in vielen Sytemen dazu bringen, statt den .pk-Fonts die
Postscript-Version zu benutzen, wenn Sie im Makefile in Zeile 48, 52 und 65 den Befehl
dvips firewall.dvi -o firewall.ps
gegen diesen austauschen:
dvips -Ppdf -G0 firewall.dvi -o firewall.ps
und in der Datei firewall.tex die Zeile
Hat es funktioniert, so sollte das Ergebnis etwa so aussehen:
Allerdings existiert in den Versionen firewall-src-20030703.zip und
firewall-src-20030827.zip ein kleines Problem, wenn man diese Methode verwendet. Auf Seite 90
sieht man:
Die schwarzen Quadrate sollten eigentlich Anführungszeichen sein. Wie Ingo Kemper in
[1] anmerkt, kann man das Problem beheben, indem man in Zeile 1029 von
floppyfw.tex
\verb|"|\vb{8390 ne}\verb|"|
Alternativ kann man Stylefiles benutzen, die die Standardschriftarten gegen Times, Courier bzw.
Helvetica austauschen. Diese Schriften werden ausschließlich im Postscript-Typ-1-Format verwendet.
Es existieren keine .pk-Fonts für sie.
Der TeXnisch korrekte Weg dazu ist laut [3],
die folgenden Befehle in firewall.tex einzufügen (am besten direkt nach den anderen
\usepackage - Befehlen):
\usepackage{mathptmx}
\usepackage[scaled=.90]{helvet}
\usepackage{courier}
Dies ergibt das folgende Resultat:
Die Schriften sind nicht nur ordentlich anzusehen, sie wirken auch moderner als die Standard-TeX-Schriften.
Ob man diesen Look mag, oder ob er einen zu sehr an eine bekannte Textverarbeitung erinnert, ist Geschmackssache.
Will die Generierung einer anständigen PDF-Datei schließlich überhaupt nicht gelingen, so
kann man immer noch statt dem PDF, die DVI- oder die Postscript-Datei benutzen. Öffnet man
die Postscript- oder DVI-Datei mit einem der folgenden Befehle
ghostview firewall.ps &
gv firewall.ps &
xdvi firewall.dvi &
so erhält man folgendes Bild:
Die zur Drucklegung aktuelle Debian-Version benutzt standardmäßig einen 2.2er Kernel.
Zwar wird auf Wunsch auch ein 2.4er Kernel angeboten, es ist aber die Aussage der Verantwortlichen,
daß sie den 2.2er Kernel im Produktivbetrieb empfehlen. Da eine Firewall eine
sicherheitskritische Komponente ist, und da Debian sich den Ruf erworben hat, zu den stabilsten
Linux-Distributionen überhaupt zu gehören, gehe ich davon aus, daß die Debian-Verantwortlichen
ihr Handwerk verstehen und habe deshalb die Passagen zum 2.2er Kernel im Buch belassen.
Aus einer E-Mail eines Bekannten, dem ich einen Auschnitt meines Buches als Konfigurationshilfe für ISDN
geschickt hatte:
vielen Dank für die Skripte. Scheint so einigermaßen zu funktionieren.
Leider habe ich jetzt das Problem, dass mit einer Hangup-Idle Time von
300 Sekunden das Gerät überhaupt nicht mehr auflegt, da andauernd
eingehende Scans dafür sorgen, dass die Idle-Time nicht verrint.
Gibt es eine Option, mit der ich sagen kann, dass zur Betrachtung der
Idle Time nur ausgehende Pakete betrachtet werden sollen?
Dies ist durchaus ein gängiges Problem, da nicht nur echte Port Scans dieses Verhalten
erzeugen. Auch wenn man eine dynamische Adresse benutzt, die kurz zuvor einem Teilnehmer an einem
Filesharing-Netzwerk zugeteilt war (z.B. eDonkey) kann es passieren, daß die Rechner
seiner Tauschpartner, die ihre Downloads nicht beenden konnten, noch lange versuchen, die letzten
Dateien zu bekommen. Daher senden Sie immer wieder Verbindungsanfragen, die zu dem beschriebenen
Verhalten führen.
Firewallregeln helfen dagegen nicht, da der pppd die Pakete
schon zu sehen bekommt, bevor sie an den Firewalling-Code weitergeleitet werden.
Der pppd (Modem, DSL) kennt eine Option active-filter (vergl. c't 2/2003,
S.184f. und c't 4/2003, S.66).
active-filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 != 0'
dafür sorgen, daß nur ausgehende Pakete beachtet werden, die auch keine
Standardantwort auf eine eingehende Verbindungsanfrage darstellen.
Das funktioniert allerdings auch nur, wenn der Kernel dies unterstützt
(Option CONFIG_PPP_FILTER) und der pppd entsprechend kompiliert wurde (in
Makefile.linux '#' vor 'Filter=y' entfernt). In SuSE ist dies ab 7.3 der
Fall, wie dies bei Red Hat aussieht, weiß ich nicht. Man kann aber unter Red
Hat die Optionen des Standardkernels in der Datei /boot/.config nachschlagen
und mit
strings /usr/bin/pppd | grep active-filter
nachprüfen, ob die Unterstützung in den Daemon einkompiliert wurde.
Der ipppd (ISDN) kennt diese Option nicht. Allerdings bin ich zufällig auf
die Arbeit eines Patrick McHardy gestoßen, der daran arbeitet, dies zu
ändern.
Er hat Patches für den ipppd und den Kernel 2.4.20. Allerdings habe ich keine
Ahnung, ob sie funktionieren, oder was sie taugen. Ich bin nur darüber
gestolpert:
Dies ist natürlich nur dann eine Lösung, wenn Sie wissen, was Sie tun und
vielleicht auch Erfahrung mit der Kernelprogrammierung haben. In Produktivsystemen
würde ich Ihnen davon abraten, einen derartig experimentellen Patch zu verwenden.
Ansonsten kann ich Ihnen leider nur empfehlen, zu DSL zu wechseln, oder
einen Vertrag mit Flatrate abzuschließen.
Es mag Ihnen aber ein kleiner Trost sein, daß Sie mit dem Problem nicht allein stehen.
Wie die c't in Heft 4/2003 schreibt, leiden auch viele kommerzielle Router
unter dem Problem. Eine Anfrage an die 30 wichtigsten Routerhersteller ergab,
daß nur wenige Hersteller "bestätigen [konnten], daß Ihre Router ohne
Änderungen funktionierten. Einige fanden den Idle-Timeout überflüssig; ein
Produktmanager sagte dazu: 'Wer einen Router ohne Flatrate einsetzt, ist
selbst schuld.' Warum seine Geräte dann die Option überhaupt anbieten, konnte
er allerdings nicht erklären."
Errata
1. Fehlendes % im Abschnitt Der Bootloader LiLo (nur Druckversion, S.147)
Auf Seite 147 findet sich das folgende Schema:
hisax=<typ1>,<dp1>,<pa1>,<pb1>,<pc1>
[,<typ2>,<dp2>,<pa2>,<pb2>,<pc2>...]
[,<id1>[<id2>...]]
Hier fehlt vor <id2> ein %. Es müßte also heißen:
hisax=<typ1>,<dp1>,<pa1>,<pb1>,<pc1>
[,<typ2>,<dp2>,<pa2>,<pb2>,<pc2>...]
[,<id1>[%<id2>...]]
Das Zeichen ist bei der Umformatierung für den Druck irgendwie abhanden gekommen.
Kompiliert man das Buch aus den Quellen, tritt der Fehler nicht auf.
2. Fehlerhafter Parameter auf S. 281
Im Abschnitt "Das Loopback-Interface" auf Seite 281 hat sich ein
Druckfehler eingeschlichen. Die zweite Regel müßte statt
iptables -A OUTPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
lauten. Wir danken dem Leser JK für den Hinweis.
3. Fehler in den for-Schleifen im Skript procconf
Im Beispielskript procconf ab Seite 154 befindet sich ein Fehler. Die beiden for-Schleifen werden mit end statt mit done abgeschlossen.
Der Fehler wurde in der Quellenversion firewall-src-20041025.zip behoben.
Die Skriptarchive ab Version scripts-20041025.zip enthalten ebenfalls
die korrigierte Version des Skripts.
Wir danken der Leserin Karin Capey für den Hinweis.
Zurück zur Download-Seite
Zurück zu Linux-Firewalls - Ein praktischer Einstieg
O'Reilly Home |
O'Reilly Partnerbuchhandlungen |
Bestellinformationen
Kontakt |
Über O'Reilly |
Datenschutz
© 2003, O'Reilly Verlag GmbH & Co.KG
webmaster@oreilly.de
|
|
