ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sergey Goryachev                     2:5020/400     15 Jul 2002  18:00:30
 To : Lev Serebryakov
 Subject : Re: ipfw & keep-state
 -------------------------------------------------------------------------------- 
 

 
 "Lev Serebryakov" <Lev.Serebryakov@f661.n5030.z2.fidonet.org>
 сообщил/сообщила в новостях следующее: news:1026508632@f661.n5030.z2.ftn...
 
 > What do you think about sharp blades, All?
 >
 >   Сейчас у меня есть вот такая строчки в файрволле:
 >
 > allow tcp from any to me in established
 > allow tcp from me to any out
 >
 >   Hу, и потом -- несколько разрешенных in setup'ов (на 25-ый порт, 80-ый,
 
 22, и
 
 > так далее).
 >
 >   Hе лучше ли это заменить на keep-state? Ведь, как я понимаю,
 
 established --
 
 > всего лишь комбинация флагов,
 
 established
         TCP packets only.  Match packets that have the RST or ACK bits set.
 setup   TCP packets only.  Match packets that have the SYN bit set but no
 ACK bit.
 imho, с тем же успехом можно было бы вместо established написать tcpflags
 ask,rst
 keep-state
          Upon a match, the firewall will create a dynamic rule,
          whose default behaviour is to matching bidirectional
           traffic between source and destination IP/port using the
           same protocol.  The rule has a limited lifetime (con-
           trolled by a set of sysctl(8) variables), and the life-
           time is refreshed every time a matching packet is found.
 > а keep-state будет отслеживать реальные коннеты и
 
 т.е. setup не отслеживает "реальные коннекты"? ;-)
 
 > не позволит, например, скан, делающийся через nmap (редим не помню)...
 >
 
 зачем заменять? можно  ведь и объединить
 ipfw add allow tcp from any to me 25 setup keep-state
 PS: все в том же ipfw(8) писано, что
 
      BEWARE: stateful rules can be subject to denial-of-service attacks by a
      SYN-flood which opens a huge number of dynamic rules.  The effects of
      such attacks can be partially limited by acting on a set of sysctl(8)
      variables which control the operation of the firewall.
 -- 
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5
  * Origin: Talk.Mail.Ru (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    ipfw & keep-state   Lev Serebryakov   13 Jul 2002 01:14:20   Re: ipfw & keep-state   Sergey Goryachev   15 Jul 2002 18:00:30   ipfw & keep-state   Lev Serebryakov   16 Jul 2002 00:39:09   Re: ipfw & keep-state   Eugene Grosbein   16 Jul 2002 10:43:18   ipfw & keep-state   Slawa Olhovchenkov   16 Jul 2002 09:43:52