1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
|
Kurz-Paper zum Vortrag "Programmierung von netfilter/iptables-Erweiterungen"
(Schluessel 3b911575)
1. Warum ist dieses Thema fuer die Besucher interessant?
Das Thema ist aus unterschiedlichen Gruenden interessant.
Zum einen is vielen fortgeschrittenen Administratoren einfach nicht klar,
was sich durch eigene Erweiterungsmodule fuer Moeglichkeiten erschliessen.
Zu vielen denken noch in der alten, starren, monolithischen 'ipchains'-Welt.
Zum anderen ist es auch eine ideale Moeglichkeit, ein bisschen in die Welt
der Kernel-Programmierung hereinzuschnuppern. Viele der komplexen
Zusammenhaenge (locking, etc.) werden weitestgehend vom netfilter/iptables
core uebernommen, so dass wirklich lediglich C-Programmierkenntnisse noetig
sind, und man bisher den Kernel noch nicht angefasst haben muss.
Und nicht zuletzt waere dieser Vortrag erst die zweite Moeglichkeit,
sich anstatt RTFM durch einen Workshop mit diesem Thema zu beschaeftigen ;)
2. Warum beschaeftigen Sie sich mit dem Thema?
Weil ich ein Mitglied des netfilter core teams und der gegenwaertige
Maintainer des Linux Firewalling Subsystems bin.
Warum ich nun das bin, ist eine laengere Geschichte. Ich finde es jedenfalls
wichtig, an der Weiterentwicklung des Linux-Firewallings zu arbeiten.
Netzwerke, und insbesondere Netzwerksicherheit war schon immer mein
Lieblingsthema.
3. Welche Struktur/Gliederung soll der Vortrag bzw. Workshop haben?
Zunaechst kommt eine kurze Uebersicht ueber die interne Architektur
des netfilter- und iptables- subsystem.
Im zweiten Teil werden die im Rahmen dieser Architektur zur Verfuegung
stehenden API's besprochen, u.a. auch mit Code-Beispielen von existierenden
iptables matches/targets, sowie conntrack und NAT helper-Modulen.
Im driten Teil folgt dann eine schritt-fuer-schritt-Entwicklung eines
iptables-Erweiterungsmoduls.
4. Planen Sie auch eine praktische Vorfuehrung im Rahmen des Beitrages?
Nunja, nach dem es sich um eine Art Programmier-Tutorial handelt werden
wir nach dem Theoretischen Teil (einer Einfuehrung in die API's) zusammen
ein solches Erweiterungsmodul schreiben. Ich denke das zaehlt als
"praktische Vorfuehrung"
5. Welche einschlaegigen Webseiten gibt es zum Tema?
Die Homepage des netfilter/iptables-Projekts unter http://www.netfilter.org/,
insbesondere das netfilter-hacking-HOWTO unter
http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html ist
als relevant zu bezeichnen.
6. Haben Sie schon einmal ueber dieses Thema referiert?
Ich habe zahlreiche Vortraege und Tutorials run um das Thema
netfilter/iptables auf internationalen Konferenzen gehalten (unter anderem
Linuxtag, Linux-Kongress, Ottawa Linux Symposium, Sao Paulo Linux Expo, ...).
Eine unvollstaendige Liste ist unter http://www.netfilter.org/events.html
Dabei war auch bereits ein eintaegiger Workshop, in dem von den Grundlagen
der Anwendung bis zur Programmierung von Erweiterungsmodule der komplette
Themenbereich abgedeckt war.
Sonstiges:
Der Workshop kann in deutsch oder englisch angeboten werden.
|