![[Inhalt]](../../Grundlagen/Firewall/images/toc.gif){kind=small}
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Der ältere Linux Firewall Code besaß einige Einschränkungen, wie z.B. 32 Bit
Counter für die TCP/IP Sequenznummern, die insbesondere bei HiSpeed Netzwerken
schnell zu einen wrap around führten. Dies ermöglichte einige neue
Arten des session hijacking.
Desweiteren konnte der ältere Linux Kernel nicht andere Protokolle,
wie IPX oder SPX handeln. Es fehlten darüber hinaus inverse Filterregeln und
Eigenschaften, wie port redirection. Das
komplette Design der Filterregeln wurde von der unübersichtlichen Vermischung von
Regeln für IP-Adressen und Regeln für Ports zu einem Design mit Ketten
(chains) von Filterregeln hin verändert. Die Chains verfolgen eine gänzlich
andere Architektur, sodaß es zwar möglich ist, die Regeln von
ipfwadm fast 1:1 zu übersetzen (z.B. mit ipfwad2ipcheins), man aber
das Design überdenken sollte, insbesondere hinsichtlich der Wartbarkeit. Die Managebarkeit der Firewall
Regeln konnte somit erheblich verbessert werden.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |