Firewalls und Filter: Verbindungsverfolgung mit IPv6 für Linux

Das Wachstum des Breitbandzugangs treibt den Einsatz neuer Dienste voran. Eine der Technologien, die im Rahmen des EU-finanzierten TORRENT-Projekts entwickelt wurden, ist eine Lösung zur Verbindungsverfolgung (connection tracking) für Linux mit Hilfe des neuen Internet Protokoll Standards (IPv6).

Das TORRENT-Projektteam entschied, dass die Implementierung des IPv6-Protokolls auf ihrer Plattform zur Erweiterung der Paketbearbeitungsfunktion führen würde. Das Team nutzte das Netfilter Framework, um dies im Linux 2.4 Kernel umzusetzen. Hierbei handelt es sich um ein Framework, das neben anderen Anwendungen eine Firewall ermöglicht.

die IPv6-Implementierung wurde so modifiziert, dass sie die Verbindungsverfolgungsfunktion des IPv4-Protokolls enthält, inklusive der Methode zur Ausgabe der Paketfluss-Informationen an den User Space mit Hilfe des Prozessdateisystems von Linux.

zusätzliche Erweiterungen wurden auch der IPv6-Version hinzugefügt, unter anderem die Ergänzung von Verbindungsverfolgungstabellen durch Byte- und Paketzähler und das Senden von Flow States an den User Space zusammen mit den Zählern. Zu den weiteren Ergänzungen gehörten der Logging Daemon im User Space zur Protokollierung von Informationen und eine State-Match-Funktion, um die Verfolgung von Protokollinformationen zu ermöglichen, was wiederum Firewall-Filterung möglich macht.

neben der filternden Firewall ermöglichen diese Protokoll-Modifikationen und Ergänzungen die Implementierung von anderen Funktionen in IPv6 im Rahmen von TORRENT. Das System kann Pakete untersuchen und modifizieren, um zum Beispiel das Routing und Warteschlangen zu steuern, und kann auch Paketfluss und Übertragungsvolumen an den User Space senden.