F
fgemein
Grünschnabel
Guten Morgen
Ich bin Techniker bei einem Internet Provider und administriere u.a. nun auch mehrere Openbsd Firewall Cluster mit packetfilter.
Die ersten Systeme sind von meinem Vorgänger aufgesetzt worden, ich selber bin erst durch sie mit BSD in Kontakt gekommen.
Ich bin sowohl von Packetfilter, als auch von Carp sehr begeistert, habe nur ein Problem , bei dem ich nicht so recht weiterkomme:
Mit zunehmender Anzahl von offenen states bekomme ich immer mehr incomplete Einträge im Arp Table, sprich Ping schlägt fehl, weil die IP<->Macadressen Auflösung versagt.
Nun frage ich mich, wie ich das Problem lösen kann:
Ich möchte eher nicht mit static Arp Einträgen arbeiten, dafür sind die Umgebungen hinter der Firewall zu groß.
Gibt es eine Möglichkeit die Lebenszeit der 'keep state' Anweisungen einzuschränken?
Kann man Parameter ändern (buffer, ulimits o.ä), um die Zahl der möglichen States zu erhöhen?
Gibt es eine Möglichkeit eine extra nic für die DMZ komplett an PF vorbei zu routen?
Ich bin ein echter BSD Laie, langjähriger Linuxer, und wäre für jede Hilfe echt dankbar.
Danke
Frank
Ich bin Techniker bei einem Internet Provider und administriere u.a. nun auch mehrere Openbsd Firewall Cluster mit packetfilter.
Die ersten Systeme sind von meinem Vorgänger aufgesetzt worden, ich selber bin erst durch sie mit BSD in Kontakt gekommen.
Ich bin sowohl von Packetfilter, als auch von Carp sehr begeistert, habe nur ein Problem , bei dem ich nicht so recht weiterkomme:
Mit zunehmender Anzahl von offenen states bekomme ich immer mehr incomplete Einträge im Arp Table, sprich Ping schlägt fehl, weil die IP<->Macadressen Auflösung versagt.
Nun frage ich mich, wie ich das Problem lösen kann:
Ich möchte eher nicht mit static Arp Einträgen arbeiten, dafür sind die Umgebungen hinter der Firewall zu groß.
Gibt es eine Möglichkeit die Lebenszeit der 'keep state' Anweisungen einzuschränken?
Kann man Parameter ändern (buffer, ulimits o.ä), um die Zahl der möglichen States zu erhöhen?
Gibt es eine Möglichkeit eine extra nic für die DMZ komplett an PF vorbei zu routen?
Ich bin ein echter BSD Laie, langjähriger Linuxer, und wäre für jede Hilfe echt dankbar.
Danke
Frank