statefull Firewall arp Probleme

F

fgemein

Grünschnabel
Guten Morgen

Ich bin Techniker bei einem Internet Provider und administriere u.a. nun auch mehrere Openbsd Firewall Cluster mit packetfilter.

Die ersten Systeme sind von meinem Vorgänger aufgesetzt worden, ich selber bin erst durch sie mit BSD in Kontakt gekommen.

Ich bin sowohl von Packetfilter, als auch von Carp sehr begeistert, habe nur ein Problem , bei dem ich nicht so recht weiterkomme:

Mit zunehmender Anzahl von offenen states bekomme ich immer mehr incomplete Einträge im Arp Table, sprich Ping schlägt fehl, weil die IP<->Macadressen Auflösung versagt.

Nun frage ich mich, wie ich das Problem lösen kann:

Ich möchte eher nicht mit static Arp Einträgen arbeiten, dafür sind die Umgebungen hinter der Firewall zu groß.

Gibt es eine Möglichkeit die Lebenszeit der 'keep state' Anweisungen einzuschränken?

Kann man Parameter ändern (buffer, ulimits o.ä), um die Zahl der möglichen States zu erhöhen?

Gibt es eine Möglichkeit eine extra nic für die DMZ komplett an PF vorbei zu routen?

Ich bin ein echter BSD Laie, langjähriger Linuxer, und wäre für jede Hilfe echt dankbar.

Danke

Frank
 
Hi,

solltest du hier keine zufriedenstellende Antwort bekommen, koenntest du es spaeter eventuell auch bei den bsdforen versuchen (www.bsdforen.de), aber dann bitte mit Verweisen in beiden Threads. Da laufen IMHO deutlich mehr BSD Fachleute rum als hier, und das Niveau ist da im Allgemeinen auch ziemlich hoch.

mfg,
bytepool
 
bytepool schrieb:
Hi,

solltest du hier keine zufriedenstellende Antwort bekommen, koenntest du es spaeter eventuell auch bei den bsdforen versuchen (www.bsdforen.de), aber dann bitte mit Verweisen in beiden Threads. Da laufen IMHO deutlich mehr BSD Fachleute rum als hier, und das Niveau ist da im Allgemeinen auch ziemlich hoch.

mfg,
bytepool
Zum Vergrößern anklicken....


Hallo Danke für den Tip, ich denke, ich werde das morgen einmal probieren.

Trotzdem ein Lob an das Forum, die Offenheit-, und dadurch Vielseitigkeit der Themen ist sehr, sehr angenehm.

Gruß

Frank

Ich habe den Thread dort eröffnet.
http://www.bsdforen.de/showthread.php?p=210767#post210767

Danke noch einmal für den Tip
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Neueste Themen

Zurück
Oben