[linux-l] Re: Security (Firewalls, etc.)

[Matthias Kranz]

Carsten Posingies schrieb:
> Matthias Kranz <mskranz at acm.org> schrieb:
> > Nein, prinzipiell hast DU es richtig verstanden. Der Kern von
> > iptables wird nämlich in 2.5 komplett umgebaut, allerdings sind
> > die meisten Änderungen im Userspace transparent. Es gibt dazu
> > einige Informationen auf Slides von Rusty Russell und Harald
> > Welte. AFAIR sollten diese im Events-Bereich auf netfilter.org
> > irgendwo zu finden sein.
> 
> Kriegt's der gute Rusty noch auf die Reihe?

So intim bin ich nicht mit ihm ...

> Nach dem Schritt von 2.3
> (ipchains) nach 2.4 (iptables) hat er doch noch behauptet, sowas gutes wie
> iptables hätte er noch nie programmiert, und das wäre jetzt alles total
> super und modular und sicher und einfach und transparent und
> durchschaubar... Und jetzt wirft er wieder alles um?

Es ist nicht wirklich ein Widerspruch, zu behaupten, man hätte 
noch nie etwas so gutes programmiert und es trotzdem später 
verbessern zu können. Außerdem sind die meisten Design-Änderungen 
nicht ausschließlich durch ihn, sondern durch andere beschlossen 
worden. Die Anforderungen an diese Software sind einfach extrem 
hoch und reichen von der kleinen FW-Lösung für den Soho-Bereich 
bis hin zur Power-Lösung für professionelle FWs. Und da gibt es 
eben erhebliches Verbesserungspotential.

> D.h. alle Leute, die
> sich eigene Filter- oder Target-Module geschrieben haben, können die mit der
> 2.5 wegwerfen? Hm... Da is Microsoft ja richtig harmlos gegen, die schmeißen
> ihre Paradigmen wenigstens nur alle 7 Jahre weg...

Es gibt da einen Begriff, der heißt, äh, wie heißt er denn noch 
mal, ..., äh, ach ja: Kompatibilität. It's magic.

Cheers,
Matthias