ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       24 Aug 2005  21:15:33
 To : Viktor
 Subject : Re: Passive FTP
 -------------------------------------------------------------------------------- 
 

 24 авг 2005, среда, в 16:31 KRAST, Viktor написал(а):
 
  >>>  Hу и зачем там keep state? Типа круто?
  V>> Hа случай взлома из мира машины находящейся DMZ, для ограничения
  V>> возможности проникнуть из DMZ в локальную сеть предприятия. Ибо
  V>> пропускаться внутрь локальной сети будут только пакеты с keep state,
  V>> инициированными из локальной сети.
  >> Hе, а keep state-то зачем?
  V> Я постараюсь подробнее описать мое понимание того, для чего может быть
  V> полезен keep state, а вы расскажите как, в свою очередь, сами видите
  V> правильное построение фильтра в этих услових.
  V> WORLD <-> PF_1 <-> DMZ <-> PF_2 <-> LAN
  V> Выше я писал про PF_2, а имел в виду (вкратце) следующее:
  V> block all
  V> pass in on $int_if from $int_if:network to $dmz keep state
  V> (Hе указаны допустимые для обращения порты в DMZ)
  V> Ответные пакеты из DMZ для LAN, а так-же пакеты из LAN для DMZ, будут
  V> проверяться на принадлежность уже установленной TCP сессии, и в случае
  V> обнаружения принадлежности будут пропускаться без дальнейшей проверки
  V> оставшимися правилами фильтра. Фильтр будет следить за ACK/SEQ числами в
  V> загoловках пакетов и будет пропускать только коppектные пакеты.
 
 Как уже сказано, достаточно рубить tcp setup, идушие из DMZ в LAN,
 без всякого слежения за чем-либо.
 
 Eugene
 -- 
 Hаучить презирать мещанскую мудрость.
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор