Martin Kellner wrote:

> Vielleicht hab ich nicht die treffendsten Begriffe daf�r. :-) Manch
> Distribution startet alles was sich starten l��t.

Ist richtig, aber z.B. SUSE bietet ein Skript harden_suse an, das fast alles
abschaltet.
Die folgende Prozessliste zeigt schon, wie wenig Prozesse n�tig sind:

cf@cf-eth-gw:~ > ps xa
  PID TTY STAT TIME COMMAND
    1  ?  S    0:03 init [2]
    2  ?  SW   0:00 (kflushd)
    3  ?  SW   0:00 (kupdate)
    4  ?  SW   0:00 (kpiod)
    5  ?  SW   0:00 (kswapd)
   98  ?  S    0:01 /sbin/ipppd pidfile /var/run/ipppd.ippp0.pid file
/etc/ppp/o
  123  ?  S    0:07 /usr/sbin/syslogd
  126  ?  S    0:00 /usr/sbin/klogd -c 1
  168  ?  S    0:01 /usr/sbin/named
  188  ?  S    0:00 sendmail: accepting connections on port 25
  193  ?  S    0:01 /usr/sbin/sshd
  197  ?  S    0:00 /usr/sbin/xntpd
  201  ?  S    0:00 /usr/sbin/cron
  206  ?  S    0:00 /usr/sbin/dhcpd -q eth0
  207   1 S    0:00 /sbin/mingetty --noclear tty1
  208   2 S    0:00 /sbin/mingetty tty2
  209   3 S    0:00 /sbin/mingetty tty3
  210   4 S    0:00 /sbin/mingetty tty4
  211   5 S    0:00 /sbin/mingetty tty5
  212   6 S    0:00 /sbin/mingetty tty6
 8851  ?  S    0:00 login -- cf
 8852  ?  S    0:00 -bash
 8864  ?  R    0:00 ps xa
cf@cf-eth-gw:~ >

F�r den reinen Routerbetrieb k�nnte man noch auf xntpd, sendmail, named und
dhcpd verzichten.


> F�r einen v�lligen Neuaufbau eines Firewall-Scripts ist der Workshop
> sowieso zu knapp.

Ein paar grunds�tzliche Dinge zu ipchains bzw. iptables zu bringen, w�re
bestimmt nicht schlecht. Masquerading ist im Routerbetrieb meist notwendig.
Ein paar �berlegungen zum Forwarden bestimmter Ports < 1024 k�nnen auch nicht
schaden.

Die Leute k�nnen doch einfach ihren alten 386/486... mitbringen und dann
werden die M�hlen zu Routern umfunktioniert.
Minimum: 386DX33, 16 MB RAM, 80 MB HD, Floppy, VGA oder Hercules, Ethernet,
V.24 & Modem oder (ISA) ISDN-Karte. Damit l�uft auch die Kanalb�ndelung. 386SX
geht auch, aber die Kanalb�ndelung bringt dann nur noch besch...
Transferraten.

Wenn sowas gemacht wird, dann m�ssen die Leute, auf deren Rechnern eine
Installation stattfindet, eine Haftungsausschluss Erkl�rung unterschreiben,
sonst kann es sein, dass von irgendwelchen Leuten Forderungen gestellt werden,
wenn die Firewallrules doch nicht so sicher waren.
( Es darf nichts kosten, aber bitte 3 Jahre Garantie ;-)

Christian


---------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an