Traffic Control unter Linux

Inhaltsverzeichnis

1 Einleitung

2 Die Funktion des Linux-Kernels in Bezug auf Firewalling

2.1 Die Filter-Tabelle

2.2 Die NAT-Tabelle

2.3 Die Mangle-Tabelle

2.4 Die Raw-Tabelle

3 Traffic Control

3.1 Classless Queueing Disciplines

3.1.1 pfifo_fast

3.1.2 bfifo und pfifo

3.1.3 Stochastic Fairness Queueing (SFQ)

3.1.4 Token Bucket Filter (TBF)

3.1.5 Weitere Classless Queueing Disciplines

3.2 Classful Queueing Disciplines

3.2.1 PRIO QDisc

3.2.2 Hierarchical Token Bucket (HTB)

3.2.3 Weitere Classful Queueing Disciplines

3.3 Filter

3.3.1 Klassifikation anhand Markierungen: Der fw-Filter

3.3.2 Klassifikation anhand der Routing-Tabelle: Der route-Filter

3.3.3 Flexibel klassifizieren mit dem u32-Filter

4 Aufbau und Bewertung einer Testumgebung mit Firewall und Traffic Control

4.1 Die Testumgebung

4.2 Anforderungen an die Firewall und den QDiscs

4.3 Vorbereitungen

4.3.1 Konfiguration der Netzwerkkarten

4.3.2 Installation von SSH

4.3.3 Installation des Programmes iperf (jperf)

4.4 Errichtung der Firewall

4.5 Erstellung der QDiscs für sämtliche Schnittstellen

4.5.1 Schnittstelle eth0: Die Entlastung der Modem-Warteschlange

4.5.2 Schnittstelle eth1: Der Intra-/Internet-Server in der DMZ

4.5.3 Schnittstelle eth2 und eth4: Die Clients im LAN

4.6 Messungen

4.6.1 Messungen ohne Bandbreitenentlehnung

4.6.2 Messungen mit der Möglichkeit einer Bandbreitenentlehnung

5 Erkenntnis und Ausblick

Zielsetzung & Themen

Die Arbeit untersucht die Möglichkeiten des Linux-Betriebssystems, Netzwerkverkehr mittels der Firewall "iptables" zu sichern und durch das Werkzeug "tc" (Traffic Control) effizient zu steuern, um sowohl Sicherheits- als auch QoS-Anforderungen in verschiedenen Netzwerkszenarien zu erfüllen.

• Grundlagen und Funktionsweise der Linux-Firewall und des Paketfilters iptables.
• Theorie und Implementierung von "Queueing Disciplines" (QDiscs) zur Bandbreitensteuerung.
• Aufbau einer komplexen Testumgebung zur Simulation von DMZ-, LAN- und Internet-Szenarien.
• Detaillierte Konfiguration und Evaluierung von Traffic-Control-Mechanismen wie TBF und HTB.
• Messung und Analyse der Netzwerkleistung bei verschiedenen Lastszenarien.

Auszug aus dem Buch

Zusammenfassung der Kapitel

1 Einleitung: Beschreibt die Notwendigkeit von Traffic Control zur Priorisierung und Begrenzung von Netzwerkverkehr über das bloße Best-Effort-Prinzip hinaus.

2 Die Funktion des Linux-Kernels in Bezug auf Firewalling: Erläutert die Architektur der Linux-Firewall mit den vier Tabellen Filter, NAT, Mangle und Raw sowie deren Ketten.

3 Traffic Control: Definiert die Grundelemente des Traffic Control und behandelt klassenlose sowie klassenbasierte Queueing Disciplines und Filtermechanismen.

4 Aufbau und Bewertung einer Testumgebung mit Firewall und Traffic Control: Beschreibt die praktische Implementierung einer Testumgebung inklusive der Firewall-Konfiguration und der Erstellung verschiedener QDiscs für LAN- und DMZ-Schnittstellen sowie die Durchführung und Analyse der Messungen.

5 Erkenntnis und Ausblick: Fasst die Ergebnisse der Arbeit zusammen und gibt einen Ausblick auf "Traffic Control Next Generation" (tcng).

Schlüsselwörter

Firewall, QoS, Bandbreite, Queueing Discipline, iptables, Linux, Traffic Control, Shaping, Scheduling, Bandbreitenmanagement, Netzwerkverkehr, HTB, TBF, DMZ, Netzwerksicherheit

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit beschäftigt sich mit der Kontrolle und Sicherheit des Netzwerkverkehrs unter Linux, insbesondere durch den Einsatz von Firewalls und Traffic-Control-Werkzeugen.

Was sind die zentralen Themenfelder?

Zentrale Themen sind die Funktionsweise von iptables zur Paketfilterung sowie der Einsatz von Queueing Disciplines zur gezielten Bandbreitensteuerung und Priorisierung von Daten.

Was ist das primäre Ziel der Arbeit?

Das Ziel ist die Konfiguration und Erprobung eines robusten Linux-basierten Netzwerksystems, das sowohl Sicherheitsrichtlinien durchsetzt als auch spezifische Qualitätsvorgaben (QoS) für unterschiedliche Anwendungen erfüllt.

Welche wissenschaftlichen Methoden werden verwendet?

Es werden theoretische Grundlagen analysiert und im Anschluss eine praktische Testumgebung mit verschiedenen Rechnerkonfigurationen und Netzwerktopologien aufgebaut, um durch systematische Messungen die Wirksamkeit der implementierten Mechanismen zu evaluieren.

Was wird im Hauptteil behandelt?

Der Hauptteil befasst sich detailliert mit der Klassifizierung von Paketen, dem Aufbau einer HTB-Klassenhierarchie, dem Einsatz von Filtern (fw, u32) und der anschließenden Bandbreitenmessung in verschiedenen Szenarien.

Welche Schlüsselwörter charakterisieren die Arbeit?

Wichtige Begriffe sind Firewall, QoS, Bandbreite, Queueing Discipline, iptables, Linux und Traffic Control.

Welche Rolle spielt die DMZ im Testaufbau?

Die DMZ dient als isolierter Bereich für Serverdienste, deren Datenverkehr mittels DNAT und spezifischer Filterregeln vom Internet aus erreichbar gemacht und in der Bandbreite kontrolliert wird.

Warum wird der u32-Filter in der Arbeit besonders hervorgehoben?

Der u32-Filter ermöglicht eine tiefgehende, eigenständige Klassifizierung von Netzwerkpaketen direkt basierend auf Feldern im IP- oder TCP-Header, ohne von vorangegangenen Paketmarkierungen durch iptables abhängig zu sein.