Firewall-Konzept
| Übersicht | Homepage des Chemnitzer Linux-Tags 2004 | offizielle Netzwerkbeschreibung |
Als Firewall kam ein Linux-Rechner mit einer GBit- und einer 100MBit-Karte zum Einsatz. Über die GBit-Karte kamen alle VLANs nach IEEE802.1q getagged in den Rechner und wurden dort geroutet. Die 100 MBit-Karte wurde als dedizierter Internet-Uplink verwendet. Linux hat im Kern schon eine VLAN-Implementation. Es wird aber zusätzlich noch Das Programm "vconfig" aus dem Programmpaket vlan benötigt, um die VLANs zu konfigurieren.
Im Router wäre noch mehr Platz für zusätzliche Netzwerkkarten gewesen, allein war durch obige Konfiguration bereits das theoretische Maximum des PCI-Buses beinahe erreicht.
Das folgende Bild zeigt den prinzipiellen Aufbau der Firewall. Die blauen Pfade sind ohne Bandbreitenbeschränkung. Auf den roten Pfaden wurde die Bandbreite nach der globalen Shaping-Regel begrenzt.
Diese Kanten wurden zuerst am Whiteboard entwickelt und im zweiten Schritt in iptables-Regeln implementiert.
Firewallkonzept am Whiteboard [groß]
| © Sebastian Kratzert, Manuel Möller 2004 |
