Speziellen Kernel für eine Firewall backen

[h.o.t.]

Hallo Community,

wir haben momentan zwei jungfräuliche Appliances, die wir gerne als Firewallcluster nutzen möchten. Systeme: Intel P4 2,8 / 512 MB / 40 GB HDD / 2x 1000 NIC / 2x 100 NIC / 4x USB

Darauf haben wir bereits Debian 3.1 Sarge und folgende Pakete installiert:
openvpn, shorewall, heartbeat (= Probleme, kommt demnächst ein neuer Thread )

Damit die Firewall ordentlich rockt, möchten wir den Kernel etwas tunen, zudem sollte IP-Accounting funktionieren.

Folgendes haben wir schon recherchiert:
- Kernelmodul ip_acct für IP-Accounting
- Überflüssige Kernelmodule wie z.B. Sound usw. können rausfliegen
- Folgende Module werden beim Systemstart nicht geladen: i810, shpchp, pciehp, hw_random - diese können auch rausfliegen

Wir möchten gerne den Kernel, der schon installiert ist;

Code: Alles auswählen

firewall:~# uname -a
Linux firewall 2.4.27-2-386 #1 Wed Aug 17 09:33:35 UTC 2005 i686 GNU/Linux

weiterverwenden und auf dieser Kernelbasis einen neuen Kernel backen.

Folgende Fragen tauchen auf:
a) Welche Kernelsourcen müssen wir vom FTP-Server holen und wie heißt das File?
- Haben schon nachgeschaut, aber da gibts ja schier viele davon...
b) Wo können wir noch ansetzen beim Tuning?

Für eure Tipps und Anregungen sind wir sehr dankbar.

Viele Grüße aus Nürnberg,
h.o.t.

[finupsen]

a) Welche Kernelsourcen müssen wir vom FTP-Server holen und wie heißt das File?
- Haben schon nachgeschaut, aber da gibts ja schier viele davon...

apt-get install kernel-source-2.4.27

b) Wo können wir noch ansetzen beim Tuning?

Ein absolut minimalisiertes kernel trägt nicht unbedingt dazu bei ein schnelles system zu
haben. Von daher: Wichtig ist daß das system erstmal stabil funktioniert.... oder meinst du
nicht auch ? Das kernel sollte auf deine hardware abgestimmt sein, das ist viel wichtiger.
Im normalfall kannst du auch das pre-installierte kernel verwenden (es unterstützt auch
iptables & co).

[rolo]

hallo und willkommen im forum
.

Wo können wir noch ansetzen beim Tuning?

eventuell mit dem grsequrity patch
http://www.grsecurity.net/

bis denn
atropin

[meandtheshell]

@hot
alles nett was du da vorhast aber bevor ich all das mache nehme ich einen Kernel der aktuell ist nicht einer der 2.4er Serie den
- in der 2.4er ist ipchains der Paketfilter (edit: das ist falsch - betrifft das alpah release - alle produktiv kernel gab es mit iptables)
- in 2.6 iptables welches wiederum Sachen wie z.B. IP Accounting schon durch das neue routing builtin dabei hat

markus

[rolo]

in der 2.4er ist ipchains der Paketfilter

das stimmt so nicht, der 2.4er ist mit iptables groß geworden. die 2.2er benutzen ipchains.
ansonsten würde aber auch ich einen aktuellen kernel vorziehen.

bis denn]

[meandtheshell]

in der 2.4er ist ipchains der Paketfilter

das stimmt so nicht, der 2.4er ist mit iptables groß geworden. die 2.2er benutzen ipchains.

Ja - die Umstellung erfolgte während der 2.4er phase - genaues release? müsste ich nachsehen

markus

[novalix]

hallo,

schiesst ihr da hardwaremaessig nicht mit kanonen auf spatzen? also nen dezidierter firewall-rechner braucht nicht viel mehr als min. zwei netzwerkkarten und nen abakus dazwischen. will sagen ne firewall laeuft im zweifelsfall auch von ner floppy.
was die kernelkonfiguration angeht:
1. nur die wirklich unbedingt notwendigen treiber auswaehlen
2. wenn es geht alles fest einkompilieren
3. 2.4 od. 2.6 ist voellig schnuppe, wenn es security-updates fuer die sourcen gibt
die arbeit faengt dann aber erst an: unnoetige dienste abschalten, netfilterregeln erstellen, testen, verbessern, testen, verschlimmbessern, testen, feststellen, dass man sich ausgesperrt hat ...
ganz guter anfang ist fuer meine begriffe arno 's iptables firewallscript, fuer das es auch ein debianpaket gibt (allerdings in unstable).

ciao, niels

[nepos]

Beim 2.4er kenne ich nix anderes als iptables. Er kannst auf jeden Fall schon im alten 2.4.17er Kernel, der bei Woody damals dabei war.
Ich glaub auch, dass fuer ne Firewall es wenig Unterschied ist, ob du nun einer 2.4er oder 2.6er nimmst.
Wenn du auf der Basis des Debian-Kernels aufbauen willst, da sollte unter /boot/ eine config fuer die Kernelversion liegen. Die kannst du mal als Ausgangspunkt fuer weitere Einstellungen nutzen. Den eigenen Kernel wuerd ich dann auch als Debian-Paket bauen, wie das geht steht im Anwenderhandbuch, Kapitel 5 wars glaub ich.
Ansonsten tunen, puh, schwer zu sagen. Da muesstest du halt mal gucken, wo es eventuelle Engpaesse gibt und dann gezielt nach Loesungen suchen. So allgemein kann man das schwer sagen...
Das Entfernen unnoetiger Module bringt dir in Sachen Performance auch eher weniger, du brauchst halt nur bisschen weniger Ram. Aber es schadet sicher nicht, den Kernel fuer ne Firewall zu entschlacken und alles unnoetige rauszuwerfen.

[meandtheshell]

Ich glaub auch, dass fuer ne Firewall es wenig Unterschied ist, ob du nun einer 2.4er oder 2.6er nimmst.

Doch - ein Beispiel ist das nicht mehr Vorhanden sein des mirror targets bei iptables in der 2.6er Serie usw.

markus

[meandtheshell]

also nen dezidierter firewall-rechner braucht nicht viel mehr als min. zwei netzwerkkarten und nen abakus dazwischen. will sagen ne firewall laeuft im zweifelsfall auch von ner [floppy

Für alles was sich nicht im privaten Umfeld bewegt ist das _keine_ Lösung - auch privat ist das eher etwas für den temporären Einsatz wenn überhaupt.

BTW - der Ausdruck Abakus ist hier fehl am Platz.

Einen aktuellen Kernel zu verwenden ist gut und sinnvoll da man wenn erforderlich/gewüscht etwaige Patches verw. kann http://l7-filter.sourceforge.net/ (obwohl dieser Patch auch für den 2.4er vorhanden ist was aber eher die Ausnahme den die Regel ist)


markus

[novalix]

Für alles was sich nicht im privaten Umfeld bewegt ist das _keine_ Lösung - auch privat ist das eher etwas für den temporären Einsatz wenn überhaupt.

BTW - der Ausdruck Abakus ist hier fehl am Platz.

ja sicher, herr doktor.

es ging hier auch gar nicht darum eine floppy-loesung anzubieten, sondern zu verdeutlichen, dass die hardware fuer ne dezidierte firewall imho zu schade ist. das gilt im uebrigen auch dann, falls das teil fuer den professionellen einsatz gedacht ist.

BTW - begriffe sind ueberall da angebracht, wo das kommunikationsziel (verstaendigung) erreicht wird.

vielen dank fuer ihre aufmerksamkeit, niels

[meandtheshell]

dass die hardware fuer ne dezidierte firewall imho zu schade ist. das gilt im uebrigen auch dann, falls das teil fuer den professionellen einsatz gedacht ist.

Es wurde keine Aussage über den genauen Einsatzzweck gemacht das betrifft
- Protokolle
- Datenrate
- Verfügbarkeitsanforderung
- etc

IMHO kann man keine Aussage machen ob diese oder jene Hardware overkill ist oder nicht - man hat schlicht keine Bewertungsgrundlage.

FAZIT:
Im Grunde ist alles von der Floppy Lösung bis zum Cluster denkbar - meine Aussage oben (no floppy) ist daher auch eher Intuition als Fakt. Er hat 2 Maschinen - ob es angemessen ist oder nicht - who knows?

Abakus:
ist ein Rechenschieber - hat keine NIC's etc. und ist (sorry) fehlplaziert. Dein Zynismus hilft auch keinen weiter - wenn du mir böse bist dann sorry - war nicht so gemeint.

markus

[h.o.t.]

Hallo Community,

war am WE nicht da, konnte also leider nicht an euren Diskussionen um unseren FW-Cluster teilnehmen *schade*.

Ihr habt mir mit euren Tipps und Hilfestellungen sehr weitergeholfen. Werde das alles beherzigen!

@meandtheshell & others
Zum Thema Einsatzzweck:
- Die Protokolle begrenzen sich auf TCP, UDP, und soweit die installierten Pakete OpenVPN, heartbeat usw. - alles andere soll und wird mit den iptables-Rules je nach VLAN erschlagen.
- Wir wollen einen hohen Datendurchsatz erreichen, der annähernd an die bisherige FW drankommt.
- Verfügbarkeitsanforderung - weiß jetzt nicht genau was du meinst - IMHO soll das Teil ständig verfügbarsein und bei Ausfall eben die Clusterfunktion zum Einsatz kommen.

Ok, die Hardware ist etwas overkilled, aber was soll man machen, das war eines der wenigen Angebote, wo man sich noch die Teile selber zusammenstellen konnte

Viele Grüße,
h.o.t.

[meandtheshell]

sieh dir das einmal an "Use case scenario" habe ich vor Monaten hinzugefügt
http://en.wikipedia.org/wiki/Firewall_%28networking%29

Das sollte genau auf euren Fall abgestimmt sein. Zum Kernel wurde ja schon etwas gesagt. Wenn ihr einen Gigabyte Switch verwendet ist das was ihr möchtet machbar - das ist nur Vermutung - welche Datenrate da wirklich entsteht hast du ja nicht gesagt.

Mit Verfügbarkeit habe ich schon das gemeint mit dem HA Cluster http://en.wikipedia.org/wiki/Availability

markus

[herrchen]

in der 2.4er ist ipchains der Paketfilter

das stimmt so nicht, der 2.4er ist mit iptables groß geworden. die 2.2er benutzen ipchains.

Ja - die Umstellung erfolgte während der 2.4er phase - genaues release? müsste ich nachsehen

iptables war von anfang an in 2.4:

http://www.heise.de/newsticker/meldung/14268

herrchen

[meandtheshell]

iptables war von anfang an in 2.4:
http://www.heise.de/newsticker/meldung/14268

ok - hm... dann liege ich entweder voll daneben oder es war zumindest in den alpha releases vom 2.4er nicht so den eine verschwommene Erinnerung "das da einmal was war" habe ich - irgendwas an einem PC hatte ich da gemacht und es war ein 2.4er und das ipchains iptables Umstiegsproblem

anyway - kann gut sein das es schmarrn war oder so

markus