Kompakte Pinguine: fli4l und eisfair
Teil I fli4l - the on(e)-disk-router Dr. Axel Wachtler
Linux-Info-Tag Dresden, 18.10.2003 2 Einleitung
Einleitung – Was ist fli4l ?
Installation – Geschichte
Konfiguration – Verbreitung
Anwendung – fli4l-Router vs. Hardwarerouter
– Online Ressourcen
Home 3
Einleitung Was ist fli4l ?
– Linux-basierender ISDN-, DSL- und Ethernet-Router
– Minimalversion ist lauff¨ahig auf einer Diskette Erstellung unter Unix, Linux oder Windows
– geringe Hardware-Anforderungen: 486er mit 12 MB RAM
– gesamte Konfiguration erfolgt mit Textfiles keine speziellen Linuxkenntnisse erforderlich ⇒ – modulares Konzept - Anpassung an viele Einsatzgebiete
– Lizenz: GPL
– Abkurzung:¨ “floppy isdn for linux”, mittlerweile aber nicht mehr ganz zutreffend, da auch DSL, Ethernet und Modems unterstutzt¨ werden.
Home 4
Einleitung Geschichte
– erste urkundliche Erw¨ahnung: 5. April 2000
– Initiator und Hauptentwickler: Frank Meyer1
– seither kontinuierliche Entwicklung (ca. 20 Releases)
– aktuelle Versionen (Stand 4.10.2003): – Benutzer-Version: 2.0.8, Kernel 2.2.22 – Entwickler-Version: 2.1.4, Kernel 2.4.22
1 “Routing fur¨ alle”, Frank Meyer, Linux-User, Heft 3/2002, http://www.linux-user.de/ausgabe/2002/03/035-fli4l/fli4l-4.html
Home 5
Einleitung Verbreitung
– Zur Zeit gibt es ca. 9186 regi- strierte fli4l-Installationen∗ (Stand 5.10.2003)
– Die gesch¨atzte Dunkelziffer bel¨auft sich anhand des Downloadauf- kommens lt. Frank Meyer auf 150.000,. . . , 200.000 in Deutsch- land und ca. 100.000 Installationen im Ausland.
∗ siehe http://www.fli4l.de/routerkarte/fli4l.routerkarte.inc.php
Home 6
Einleitung fli4l vs. Hardwarerouter
Pro’s
– Verwendung vorhandener gebrauchter Hardware
– die Leistung des Routers ist durch Austausch von CPU, Mainboard, Speicher oder HDD einfach skalierbar
– durch einfache Software-Updates k¨onnen Sicherheitslucken¨ geschlossen werden
Con’s
– Stromverbrauch ist, je nach eingesetzter Hardware, u.U. h¨oher als bei einem HW-Router
– durch fehlerhafte SW-Konfiguration k¨onnen Sicherheitslucken¨ entstehen 2
2 Grund hierbei ist das hohe Maß an Konfigurierbarkeit. Die Default-Einstellungen in den Konfigurationsfiles sind konservativ. Durch OPT-Pakete mit Serverdiensten k¨onnen weitere Schwachstellen entstehen.
Home 7
Einleitung Online Ressourcen
– Homepage: http://www.fli4l.de/
– Download: Benutzer-Version: http://www.fli4l.de/german/download.php Entwickler-Version: http://www.fli4l.de/german/download214.htm
– FAQ: http://www.fli4l.de/faqengine/faq.php
– Howto’s: http://www.fli4l.de/german/howtos.htm
Home 8 Installation
– Voraussetzungen Einleitung – Einrichten der Build-Maschine Installation – Erster Testlauf Konfiguration – Planung der Konfiguration Anwendung – Anpassung der Konfigurationsdateien
– Beispiel: Floppy-Router mit 2 NW-Interfaces
Home 9
Installation Voraussetzungen - Hardware
– Folgende PC-Hardware wird empfohlen:
Zweck Minimum Besser
ISDN 386er CPU ab 25 MHz 486er ab 33 MHz DSL 486er CPU ab DX2/66 486er DX4/100, Pentium ab 75 MHz Speicher 12 MB 16 MB
– Zubeh¨or: – Floppy-Drive, 1 Diskette – Ethernet-Karte – ISDN-, DSL-, WLAN-Karte, weitere Ethernet-Karte(n)
– optionales Zubeh¨or: – HDD, CF-Adapter + CF-Karte, LCD, . . .
Home 10 Installation / Voraussetzungen Systemubersicht¨
Client #2 172.16.1.x
Client #1 172.16.1.3
LAN Internet
¡
¡
¡
¡
Server fli4l − ¡
¡
(eisfair) Router ¡
172.16.1.123 ¡
sek. Interface ¡ prim. Interface
172.16.1.122 ¡ dyn. od. statische IP Ethernet, WLAN Ethernet, DSL, ISDN, Modem
Mit dem fli4l-Router wird die Anbindung des lokalen Netzes an das Internet realisiert.
Home 11
Installation / Voraussetzungen Download der Pakete
– Quelle: http://www.fli4l.de/german/download.php – Es gibt Basis- und OPT-Pakete – Die Pakete sind von der fli4l-Version abh¨angig (Kernelmodule, libc)
– Erstellen des Arbeits- und eines Archivverzeichnisses mkdir -p my-fli4l/archiv
– Speichern der wichtigsten ben¨otigten Basispakete in my-fli4l/archiv
Gr¨oße Paket Beschreibung 4.124.672 fli4l-2.0.8.tar.gz Basis Paket - Ethernet Router 311.296 inet.tar.gz sshd, (telentd, ftpd) 2.351.104 isdn.tar.gz Netzzugang per ISDN und / oder 151.552 dsl.tar.gz Netzzugang per DSL
Home 12
Installation Einrichten der Build-Maschine
– Entpacken des Basispaketes tar xvzf archiv/fli4l-2.0.8.tgz
– Inhalt des Verzeichnisses fli4l-2.0.8:
mk(floppy|clean|tgz).(sh|bat) Skripte zur Erzeugen des Floppy-Images, . . . config/ originale Konfigurationsdateien doc/ Dokumentation img/ Ergebnisse des Buildprozesses (kernel, root-fs, opt.tgz) opt/ Zusatzdateien fur¨ OPT-Module unix/ Quellen zu imonc, mkfli4l, . . . src/ mod. Kernel- und Modulquellen, Kernelkonfiguration windows/ Windows-Tools: (tar|gzip|imonc|mkfli4l).exe check/ Wertebereichs- und Syntaxcheck der Konfigurations-Files
Home 13
Installation Erster Testlauf
cd my-fli4l/fli4l-2.0.8; ./mkfloppy.sh die Diskette enth¨alt nun ein unkonfiguriertes Routerimage: ldlinux.sys Bootloader syslinux syslinux.cfg Konfigurationsdatei fur¨ syslinux kernel Linux-Kernel rootfs.gz Root-Filesystem opt.tgz Optionale Dateien: Treiber und Opt-Pakete
An dieser Stelle ist die Arbeitsumgebung fertig eingerichtet und die eigentliche Konfiguration kann beginnen.
Home 14
Installation Planung der Konfiguration
– Hardwaredaten der Kommunikationsger¨ate3: – Netzwerkkarten, ISDN-Karten, . . . – Namen von Kernelmodulen
– Netzwerkdaten – IP-Addresse und Hostname des Routers, Netzmaske, Gateway – IP-Adressen von DNS-Servern und evtl. Zeit-Servern
– Einwahldaten des/der Provider – Einwahlnummer, Username, Passwort, . . . – Zeitplan fur¨ Least Cost Routing
3 Knoppix oder µLinux hilft beim Ergrunden¨ von Hardwareparametern und Treibernamen.
Home 15
Installation Anpassung der Konfigurationsdateien
– Installation weiterer erforderlicher Pakete, z. B. isdn, dsl, inet, tools, dns, proxy cd fli4l-2.0.8; tar xvzf ../archiv/
– Erzeugen einer Kopie des Konfigurationsverzeichnisses (empfohlen) cp -rfv config my-config
– jedes Paket hat eine Konfigurationsdatei mit gleichlautendem Namen, nur die Pakete, deren Files in my-config enthalten sind, werden installiert.
!!! Achtung: Die Konfigurationsdateien enthalten Klartextpaßw¨orter !!! Diese Dateien sind deshalb fur¨ Kinder und Personen, bei den Vertrauensgrundsatz aufgehoben ist, unzug¨anglich aufzubewahren !
Home 16
Installation Beispiel: Floppy-Router mit 2 NW-Interfaces
– Anforderungen: – Konfiguration mit 2 Netzwerkkarten, – prim¨ares Interface wird per DHCP konfiguriert, – sekund¨ares Interface mit statischer IP Adresse, – Features: DNS-Cache, Firewall, SSH-Login
LAN Internet
¡
¡
¡
¡
¡
fli4l − ¡
¡
Router ¡
¡
¡
¡
eth0 ¡ eth1 IP statisch IP, NW: DHCP NW: 172.16.1.0/24
Home 17
Installation / Floppy-Router Konfiguration
– Installation der Pakete: – fli4l-2.0.8.tar.gz – inet.tar.gz – 232-opt dhcp3-0.3.0.tgz
– Anpassung der Konfigurationsdateien im Verzeichnis config-floppyrouter/ – base.txt: NW-Karten, Netzwerkdaten, Routing, DNS-Forward-Server, Firewall, Masquerading – inet.txt: SSHD – dhcp.txt: DHCP-Client
– Erzeugen der Diskette ./mkfloppy.sh config-floppyrouter
Home 18
Installation / Floppy-Router Inbetriebnahme und Test
– Booten des Routers von Diskette
– Login auf der Konsole
– Test der Interfaces eth0, eth1: ifconfig, lsmod
– Test des Routings: route, ping, traceroute
– Test DNS: nslookup
– Portscan von innen und außen: nmap
– Test des Remote-Login: ssh, scp
Home 19 Konfiguration und Ausbau des Routers
– Merkmalsubersicht¨
– Basispakete Einleitung – OPT-Pakete und Addons Installation – Hardware Konfiguration – Betriebs- und W¨ahlmodus Anwendung – Routing, Paketfilter, Port-Forwarding, . . .
– Wartung und Uberwachung¨
– Weitere (notwendige) Funktionen und Dienste
Home 20 Konfiguration Merkmalsubersicht¨
Sekundäres Primäres PC−Hardware Interface Interface
LAN Internet
¡ ¡
¡ ¡
¡ ¡
¡ ¡
¡ ¡
¡ ¡
¡
fli4l − ¡
¡ ¡
¡
Router ¡
¡ ¡
¡ ¡
¡ ¡
¡ ¡
¡ ¡
Dienste Routing Betriebs− & Wartung Masquerading Wählmodus Überwachung Packet−Filter ISP−Spezifika
Home 21
Konfiguration Basispakete
Nr. Paket Inhalt Gr¨oße 1 fli4l-2.0.8 BASIS, immer erforderlich! 4116541 2 dsl DSL-Router (PPPoE, PPTP) 145348 3 isdn ISDN-Router 2345054 4 dhcp DHCP-Server 102045 5 hd Installation auf Festplatte (+Patch!!) 181593 6 httpd Mini-Webserver fur¨ Status-Ausgaben 51231 7 inet Telnet/FTP/SSH-Server 306357 8 ipx IPX uber¨ ISDN 63633 9 lcd LCD-Treiber-Software + Statusanzeige 66484 10 lpdsrv Druckerserver (ohne Spooling) 33157 11 pcmcia Unterstutzung¨ von PCMCIA-Karten 164731 12 ppp PPP-Anbindung uber¨ serielle Schnittstelle 92860 13 proxy HTTP-Proxy 51897 14 scsi SCSI-Treiber 539581 15 serial Tools fur¨ serielle Schnittstelle 19418 16 time Time-Server/Client 38002 17 tools Diverse Linux-Programme als Tools 165941
Home 22
Konfiguration OPT-Pakete und Addons
– derzeit gibt es 208 OPT-Pakete4 von OPT ACCOUNTING bis OPT ZEITSYNC
– Kathegorien:
Bridge, Tunnel, VPN, Firewall Go Online/Offline Statusinformation System-, Shell-Login Mail-, News dns, dhcp http, wap, ftp File-, Printserver Fax, Voice, Handy Audio, Video, P2P Hardware-Treiber Sonstiges
– Addons5: Tools auf der Client-Seite, - diverse Clients fur¨ imond, telmond - Anrufuberwachung¨ (CallChecker) - Tools zu Logfileauswertung - Syntax-Highlighting der Konfigurationsdateien fur¨ verschiedene Editoren
4 http://www.fli4l.de/german/extern/opt/search.pl 5 http://www.fli4l.de/german/addons.htm
Home 23
Konfiguration Hardware
– Unterstutzung¨ von 40 Netzwerkkarten-Familien und 37 ISDN-Karten
– Konfiguration von ISDN-PnP-Karten (ISA)6 base.txt:OPT PNP=’yes’ ⇒ – CompactFlash-Karten und LS120-Laufwerke als Bootmedium
– verschiedene OPT-Pakete zur Ansteuerung von LED’s an Tastatur, COM- und LPT-Port OPT (OLED|COMLED|LPTLED)
– Steuerung des Routers mit einem Tastenpanel7 am COM-Port OPT CPANEL ⇒ – Ansteuerung von LCD’s am Parallelport (siehe Paket lcd.tar.gz)
6siehe fli4l-2.0.8/doc/deutsch/opt/pnp.html 7 “Schnell geschaltet”, Mirko D¨olle, Linux-Magazin, 9/2000 http://www.linux-magazin.de/Artikel/ausgabe/2000/09/Seriell/seriell.html
Home 24 Konfiguration Betriebs- und W¨ahlmodus
– Dial-Modi: base.txt:DIALMODE=‘‘xxxx’’: – auto: Einwahl erfolgt bei Anforderung aus dem LAN Kostenfalle8 !! – manual: Einwahl per Imon-Client (imonc) ⇒ – off: Einwahl permanent unterdruckt,¨ auch nicht per imonc
– Auto-Hangup: L¨osung fur¨ Probleme bei Beschuß durch E-Donkey & Co.
– ISDN: Kanalbundelung¨ (Grenzwerte zum Einschalten des 2. Kanals)
– DSL per PPPoE (PPP over Ethernet), PPTP (Osterreich)¨
– Verwendung von Breitband-Kabelmodems an Ethernet-Karten mit DHCP-Client
– USB-Ger¨ate ab Version 2.2 (DSL, WLAN)
8 Durch Auto-Dial kann es zu sehr hohen Kosten bei W¨ahlanschlussen¨ ohne Flatrate kommen, z.B. bauen Windows- Clients ca. alle 5 Minuten einen Kontakt zum Nameserver auf, oder im Web-Browser wird eine Seite angezeigt, die periodisch aktualisiert wird (Client-Pull).
Home 25
Konfiguration / DialUp Least Cost Routing (ISDN)
– Konfiguration mehrerer Anbieter als sog. “Circuits”
– Einstellung von Zeiten und Kosten fur¨ jeden Circuit isdn.txt:ISDN CIRC 1 NAME = ’Mein Anbieter’ isdn.txt:ISDN CIRC 1 TIMES=’Mo-Fr:09-18:0.049:N Mo-Fr:18-09:0.044:Y ...’9
– der fli4l-Router sollten daher eine gultige¨ Uhrzeit haben: – a) Korrektur von Y2K-Problemen: base.txt:OPT Y2K=’yes’; Y2K DAYS=’x’ – b) Verwendung eines Netzwerkzeitservers (Paket time) – c) Anbindung einer DCF77-Uhr
– Feiertage werden berucksichtigt¨
– Aktualisierung des LCR-Planes im laufenden Betrieb m¨oglich
9 Format ISDN CIRC 1 TIMES = ’A:B:C:D [A:B:C:D] ...’ A: Wochentage, B: Zeitintervall, C: Kosten pro Minute, D: Y = Default Circuit, kein LCR, N = Circuit wird bei automatischen⇒ LCR verwendet
Home 26
Konfiguration Routing, Paketfilter, Port-Forwarding, . . .
– die Konfiguration dieser Funktionen erfolgt in der Datei base.txt
– Routing: Regeln zur Paketweiterleitung IP DEFAULT GATEWAY=’eth1’, IP ROUTE x=’netzwerk netzmaske gateway’
– Paketfilter: Steuerung/Uberwachung¨ des Zugangs zum LAN von außen FIREWALL DENY PORT 1=’port|portbereich REJECT|DENY’ FIREWALL DENY ICMP=’yes|no’ Unterdruckung¨ von ping, FIREWALL LOG=’yes|no’
– Port-Forwarding: sperren des Routings von Hosts und Ports im LAN FORWARD DENY HOST x =’ipadresse’, FORWARD DENY PORT 1 =’portbereich’
– IP-Masquerading: Rechner im lokalen Netz (172.x.x.x) sind von außen nicht erreichbar. Um einen Verbindungsaufbau von außen zu erm¨oglichen (z.B. FTP) werden Masquerading-Module verwendet, die Verbindungen durch den Austausch lokaler und externer IP-Adressen weiterleiten. MASQ NETWORK=’192.168.6.0/24’, MASQ MODULE x=’ftp|raudio|h323|...’
Home 27
Konfiguration Proxies einrichten
– Junkbuster: proxy.txt; Paket proxy.tar.gz OPT PROXY=’yes|no’; PROXY ACCESS=’172.16.1.0/24’; PROXY PORT=’8000’ PROXY FORWARD=’3128’ # Forward Junkbuster to Squid-Port
– Squid10 : squid.txt; OPT-Paket: 1076-opt squid 2.0.x 1.1.zip OPT SQUID=’yes|no’; SQUID ACCESS=’172.16.1.0/24’; SQUID BLOCK PORN=’yes’; SQUID BLOCK PORN EXCL IP=’’ # exclude ;-) Contentfilterlisten: opt/files/usr/local/squid/etc/blocklist/*
router:8000 Junkbuster
router:3128 Internet Squid
10Bei der Installation von Squid sollte keine CF-Karte als Disk verwendet werden, bzw. mit OPT-RAMDISK Platz fur¨ die variablen Daten geschaffen werden.
Home 28
Konfiguration Module zur Uberwachung¨ des Routers
– die Nutzung von imond und telmond erfordert isdn.tar.gz11, die Konfiguration erfolgt in isdn.txt.
– ISDN Monitor: imond –D¨amon12 zur Steuerung des Routers (Port 5000) – Steuerung des Least Cost Routing – verschiedene Kommandos fur¨ User und Admins – Zugriff nur durch Rechner aus maskierten Netzen siehe base.txt:MASQ NETWORK
– Telefon Monitor: telmond – Anzeige der Daten aus /dev/isdnctrl0 auf Port 5001 – Loggen von Telefonverbindungen in einer Datei – Zuordnung von MSN und Client-IP bei Anzeige per imonc – Programmausfuhrung¨ bei ankommenden Anrufen
11Soll imond ohne physisch vorhandene ISDN-Karte verwendet werden, muß eine Dummy-Karte konfiguriert werden. 12diverse Client-Software verfugbar,¨ siehe Addons
Home 29
Konfiguration Weitere (notwendige) Funktionen und Dienste
Treiber: OPT SCSI SCSI-Treiber OPT SERIAL Konfiguration der seriellen Schnittstelle OPT PCMCIA PCMCIA-Treiber ... Server-Dienste: OPT DHCP DHCP-Server OPT HTTPD Mini-Webserver als Statusmonitor OPT VBOX Anrufbeantworter OPT LPDSRV lpd Berkley Druckerserver ... Sonstiges: OPT IPX IPX-Netzwerkkonfiguration OPT PPP PPP-Server/Router uber¨ serielle Schnittstelle ...
Home 30 Anwendung
Einleitung
Installation – Beispiel: Router auf HDD mit – DNS-Cache, Firewall, SSH-Login Konfiguration – serielle Konsole (Headless-Betrieb) – syslogd uber¨ das Netz zu einem Log-Host Anwendung
Home 31
Anwendung Beispiel: Router mit HDD (CF)
– Anforderungen: – Konfiguration mit 2 Netzwerkarten, prim¨ares Interface: DHCP, sekund¨ares Interface: statische IP – Features: DNS-Cache, Firewall, SSH-Login – serielle Konsole (Headless-Betrieb) – HDD-Installation mit fli4l-2.0.8
– Die Installation (Typ A13, eine FAT-Partition) erfolgt in folgenden Phasen – Phase 1: Erstellung einer Diskette mit dem Paket hd.tar.gz mit Patch – Phase 2: Installation von fli4l auf der Festplatte – Phase 3: Erstellung und Installation der Vollversion
13 Typ B Installation: je eine FAT- und eine ext2-Partition, beim Start des Routers wird das opt.tgz auf der ext2-Partition entpackt - fur¨ eine CF-Disk ist dieses h¨aufige Wiederbeschreiben ungunstig.¨
Home 32
Anwendung / HDD-Router Phase 1: Diskette erstellen
– Konfigurationsverzeichnis config-hdd-1 anlegen.
– Die Dateien aus config-floppyrouter k¨onnen recycled werden (base.txt, isdn.txt, dsl.txt, imonc.txt),
– Das Paket hd.tar.gz14, hd.txt muß neu eingespielt werden.
– Anpassung von base.txt und hd.txt
base.txt:MOUNT_BOOT=’rw’ base.txt:RAMSIZE=’2048’ hd.txt:OPT_HDINSTALL=’yes’
14 Achtung in V. 2.0.8 den Patch hd-2.0.8-patch-1.tar.gz mit installieren.
Home 33
Anwendung / HDD-Router Phase 2: HDD-Installation
– Router mit der neuen Diskette booten
– An der Konsole einloggen und den Befehl setup eingeben
– dem Menu¨ folgen: – Festplatte: hda – Boot-Partition: max. 32 MB fur¨ /boot (FAT) – SWAP: bei CompactFlash 0 w¨ahlen, keine Swap-Partition !! – Datenpartition: bei CompactFlash ebenfalls 0 w¨ahlen. – Notfalloption: b (nur opt.tgz) oder c (komplett)
– den Router von Festplatte booten
– Test des SSH-Zugangs: ssh root@fli4l
Home 34
Anwendung / HDD-Router Phase 3: Vollversion installieren
– Kopie der Konfigurationsdateien anlegen cp -rfv config-hdd-1 config-hdd-2
– Anderung¨ von config-hdd-2/base.txt base.txt:OPT HDINSTALL=’no’
– weitere Pakete installieren und konfigurieren, Konfigurationsdateien von config/ nach config-hdd-2/ kopieren.
– Das File opt.tgz und rc.cfg neu erstellen ./mktgz.sh config-hdd-2
– Files auf den Router kopieren scp img/opt.tgz img/rc.cfg root@fli4l:/boot
– Router neu starten ssh root@fli4l reboot
Home 35
Anwendung / HDD-Router Der Notfall-Modus
– Die Notfalloption dient dazu, den Router nach dem Einspielen von falsch konfi- gurierten Dateien wieder mit einer funktionierenden Konfiguration zu starten.
– Die Recovery-Version wird beim Setup angelegt. Funktion: Bei der Installation werden Kopien von Systemdateien in /boot angelegt, die als Recoveryfiles (file.x file2.x) dienen. Beim Booten des Routers wird ein Timer gestartet (60s).⇒ Wenn innerhalb dieser Zeit ein Reset des Routers erfolgt, wird beim n¨achsten Reboot die Recovery-Version gestartet. Der Ablauf des Recovery-Timers wird durch drei Beeps signalisiert.
– Notfalloptionen: a: keine Notfalloption b: opt2.tgz, rc2.cfg c: kernel2, rootfs2.gz, syslinux2.cfg, opt2.tgz, rc2.cfg
Home 36
Anwendung / HDD-Router Logging im Headless-Betrieb
– Serielle Schnittstelle als Konsole einrichten syslinux.cfg 15 ⇒ SERIAL 0 38400 # syslinux per COM1 anzeigen TIMEOUT 0 DEFAULT kernel # Console im Kernel auf COM1 und tty0 umlegen APPEND load ramdisk=1 initrd=rootfs.gz root=/dev/ram0 boot=/dev/fd0h1440 \ console=tty0 console=ttyS0,38400n8
– bei Diskettenversion Anderung¨ von img/syslinux(1440|1680).cfg
– bei Festplatteninstallation Anderungen¨ in fli4l-2.0.8/opt/files/usr/sbin/setup
– Anleitung fur¨ die Verdrahtung des Kabels siehe “Serielle Console fur¨ fli4l” http://www.fli4l.de/german/howtos/howto-serial-console-2.htm
15Bei Verwendung von SERIAL 0 [birate] kann zwar die Ausgabe von syslinux auf COM1 beobachtet werden, aber die Eingabe auf tty0 funktioniert nicht mehr. Wer beides braucht l¨aßt die Zeile einfach weg.
Home 37 Anwendung / HDD-Router Syslog uber¨ das Netzwerk umleiten
– Syslog zu einem Log-Host (z. B. eisfair)
– Einschalten des Syslod-D¨amons auf dem Router (base.txt) OPT SYSLOGD=’yes|no’; SYSLOGD DEST 1=’*.* @172.16.1.123’
– Klogd muß konfiguriert sein, damit auch die Paketfilter-Meldungen im Syslog erscheinen: OPT KLOGD=’yes’; FIREWALL LOG=’yes’
– Auf dem Log-Host muß syslogd mit den Optionen16 ’-r -l routername’ gestartet werden.
Achtung ! Die Partition, auf der syslogd die Daten speichert (Log-Host), muß ausreichend Kapazit¨at haben.
16 bei SuSE rc.config:SYSLOGD PARAMS=’-r -l 172.16.1.122’
Home 38 Zusammenfassung
– Mit fli4l kann rasch aus alter Hardware ein Router aufgebaut werden.
– Die Konfiguration des Systems erfolgt einfach uber¨ Textdateien mit einheitlicher Syntax.
– Aufgrund der vielen Erweiterungsm¨oglichkeiten ist das System flexibel an unter- schiedliche Einsatzzwecke anzupassen.
– Die vielen verfugbaren¨ Pakete verleiten dazu, Server-Funktionalit¨at in den Router zu verlagern.
– Jeder sollte beim Einrichten eines solchen Systems kritisch die Grenze zwischen Komfort und Sicherheit fur¨ den jeweiligen Einsatzzweck festlegen. ... Lieber ein lebendiger Feigling als ein toter Held.
Home