newtenlightment

Von den Konfigurationsorgien ganz zu schweigen Welche Orgien? Damit meinte ich das Aufsetzen der Firewall. Man muss sich bei einem größeren Netzwerk wie beispielsweise einer Firma durchaus Gedanken machen, was man wie zulässt, und das ist i.d.R. nicht einfach. Zudem muss man die Konfiguration auch testen, ob sie das gewünschte leistet etc. Siehe auch weiter unten zu. Ist doch das, was ich schon geschrieben habe. Eine GUI macht das eingeben der Regeln nur einfacher, nicht aber die Planung. Ach so, funktionierende GUIs für ipchains oder iptables gibts natürlich auch für Linux. Ich brauche aber eben kein Routing, sondern nur Bridging. Eine Bridge verbindet unterschiedliche Netze miteinander, d.h. TokenRing mit Ethernet beispielsweise. Nicht ganz exakt, der physikalische Layer ist dabei unerheblich. Bei uns sind es zwei Ethernets. So wie Du das geschrieben hast und ich das aufgefasst habe, wolltest Du “nur” in einen Rechner mehrere Ethernetkarten einbauen und diverse Subnetze miteinander verknüpfen, wobei eine Firewall gewisse Dinge zwischen diesen unterbinden soll. Ergo brauchst Du einen Router. Nein, den will ich eben nicht. Dann müsste ich nämlich das Routing neu konfigurieren. Und in meinem speziellen Fall müsste ich sogar die Clients umkonfigurieren, da ich auf den Router, der auf der anderen Seite des Uplinks steht, gar keinen Zugriff habe. Und im Störungsfall der Firewall könnte man sie auch nicht einfach rausziehen und das Subnetz wieder direkt an den Uplink klemmen, da ja das Routing geändert werden müsste. Subnetz anpassen? Das Ganze soll natürlich trotzdem noch Firewall und Accounting können. Wenn Du Accounting von Prozessen meinst, Nein, ich meine IP-Accounting, also zählen der Trafficmengen, und zwar IP- ung ggf. Port- oder Protokollbezogen. Und das ganze bitte wg. oben geschilderten Anforderungen für die Clients in unserem Netz vollkommen transparent. Überwachen des Netzwerkverkehrs würde sich aber ein Proxy besser eignen, u.a. auch wegen der Logging-Fähigkeiten. Nein, denn der Proxy erfordert ein Umkonfigurieren der Clients und ist zudem protokollspezifisch und ineffizient. Ausserdem stören Proxies gewisse Netzwerkfunktionen.