Um von den Filterfähigkeiten des Kernel Gebrauch machen zu können, müssen die zum Firewalling gehörenden Teile einkompiliert sein. Mit
% make menuconfig
kann die Kernelkonfiguration verändert werden. Neben der generellen Netzwerk-Unterstützung unter ''General setup'' werden folgende Einstellungen aus dem Menü ''Networking options'' benötigt:
<*> Packet socket [*] Kernel/User netlink socket [ ] Routing messages < > Netlink device emulation [*] Network firewalls [ ] Socket Filtering <*> Unix domain sockets [*] TCP/IP networking [ ] IP: multicasting [ ] IP: advanced router [ ] IP: kernel level autoconfiguration [*] IP: firewalling [ ] IP: firewall packet netlink device [*] IP: transparent proxy support [*] IP: masquerading --- Protocol-specific masquerading support will be built as modules. [*] IP: ICMP masquerading --- Protocol-specific masquerading support will be built as modules. [ ] IP: optimize as router not host < > IP: tunneling < > IP: GRE tunnels over IP [*] IP: aliasing support [*] IP: TCP syncookie support (not enabled per default) --- (it is safe to leave these untouched) < > IP: Reverse ARP [*] IP: Allow large windows (not recommended if <16Mb of memory) ---Die einzelnen Einstellungen werden in /usr/src/linux/Documentation/Configure.help näher beschrieben. Diese zu jedem Eintrag entsprechende Hilfe erhält man auch im Konfigurationsmenü über die Auswahl ''Help''.
Im Laufe der Entwicklung des 2.2er Kernels wurden diverse vormals einkompilierte Flags in das /proc-Filesystem mit aufgenommen und können nun während der Laufzeit des Kernels konfiguriert werden.
Von besonderer Bedeutung sind folgende Einstellungen:
Beide schalten die grundsätzliche Firewall-Funktionalität frei.
ist standardmäßig nicht mehr eingeschaltet. Bei Kernels der Serie 2.2.x wird IP forwarding aktiviert mit:
echo "1" > /proc/sys/net/ipv4/ip_forwardMan kann das während des Bootvorganges nach dem Mounten des /proc-Filesystemes in den Start-Scripten eintragen. IP-Forwarding ist natürlich nur notwendig, wenn der Rechner als Router eingesetzt wird. Das ist nicht der Fall bei einem Standalone-Host oder bei einem reinen Proxy-Server, der ausschließlich Dienste über Proxies anbietet.
ist eine Abwehrmaßnahme gegen SYN flooding, eine Denial-of-Service Attacke. Auf dem äußeren Router unbedingt verwenden. Allerdings muß der syncookie support nach dem Booten ebenfalls aktiviert werden:
echo "1" > /proc/sys/net/ipv4/tcp_syncookies