Frozen Fido : RU.UNIX.BSD : Re: Passive FTP

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Viktor                               2:5020/400     24 Aug 2005  14:19:02
 To : Gleb Smirnoff
 Subject : Re: Passive FTP
 --------------------------------------------------------------------------------

 Hello, Gleb!
 
 Gleb Smirnoff пишет:
 
 > Viktor <sibvaleo@aaanet.ru> wrote:
 > 
 >>>Victor Sudakov <vas@mpeks.tomsk.su> wrote:
 > 
 > V> [dd]
 > 
 >>>VS> Если учесть, что наиболее часто встречающаяся задача для stateful
 >>>VS> firewall - это выпустить пакеты из защищенной внутренней сети и
 >>>VS> пропустить возвратный трафик, а порожденный снаружи трафик внутрь
 >>>VS> отнюдь не пускать, то я не очень представляю, что там досить. Разве
 >>>VS> что изнутри. А снаружи что тот, что другой завалить трафиком - эффект
 >>>VS> будет совершенно одинаковый.
 >>>
 >>>Пара червей изнутри - вот и готов DoS.
 > 
 > 
 > V> Каким образом? Количество keep state зашкалит? Смотря как применять.
 > V> Обычно делают или ограничение на количество коннектов с одного IP
 > 
 > Многие черви используют рандомный и source IP и destination IP. Или
 > перебирают все source IP из локальной сети.
 
 Если Source IP случайный - это разве state получиться? Для TCP IMHO нет.
 Разве state устанавливается не после "рукопожатия"? Hе существующему
 Source IP ответа не придет откуда следует что в этом случае память для
 state'ов аллоцироваться не будет. (Hу, и вообще - принимать на шлюзе
 пакеты из локалки с адресами источника не из диапазона адресов локальной
 сети никто не будет, если уж взялся stateful firewall настраивать).
 
 Итого:
 1. Пакеты из локалки с "левыми" Source IP тут-же дропаются;
 2. Для коннектов из диапазона локальной сети будут действовать лимиты.
 Все. Ибо нагрузка на машину лимитирована.
 
 > V> (как часть настройки лимитов системы), или ставят прокси для сервисов
 > V> к которым дают доступ вовне (тогда их помещают в chroot окружение и
 > V> настраивают лимиты уже для них, и даже в этом случае stateful
 > V> firewalling используют с пользой).
 > V> А DoS есть DoS - забьет канал любой машины (stateful там или нет).
 > 
 > Речь не о забивании канала, а о истощении ресурсов firewall. Таких как
 > память и CPU.
 
 См. выше.
 
 > V> Я так и не увидел здесь обоснования ненужности или вредности применения
 > V> и наличия stateful firewall'а в системе. Мое IMHO: stateful firewall -
 > V> это один из нужных и полезных инструментов (без отрыва от других
 > V> средств). Hе пойму что тут можно обсуждать.
 > 
 > Верно. Hо появляется возможность DoS. Если stateless firewall не требует
 > аллоцирования памяти, то stateful требует. Hикто не отрицает полезности
 > stateful фильтрования, но не стоит закрывать глаза на недостатки.
 
 Так ведь есть управление ресурсами (см. выше).
 
 Разве вы не обсуждаете еще и возможности stateful firewalling'а
 существующих пакетных фильтров? Я что-то так и не понял из вашей
 дискуссии какие именно возможности есть и как они реализованы.
 -- 
 WBR, Viktor
 
 --- ifmail v.2.15dev5.3
  * Origin: AAA Intersvyaz (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: Passive FTP	Victor Sudakov	24 Aug 2005 08:02:04
Re: Passive FTP	Gleb Smirnoff	24 Aug 2005 11:58:36
Re: Passive FTP	Viktor	24 Aug 2005 12:38:00
Re: Passive FTP	Gleb Smirnoff	24 Aug 2005 13:05:52
Re: Passive FTP	Viktor	24 Aug 2005 14:19:02
Re: Passive FTP	Alexey G Misyuremko	24 Aug 2005 14:36:12
Re: Passive FTP	Viktor	24 Aug 2005 15:27:31
Re: Passive FTP	Alexey G Misyuremko	24 Aug 2005 15:39:59
Passive FTP	Alex Semenyaka	24 Aug 2005 18:12:18
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 11:45:44
Passive FTP	Alex Semenyaka	25 Aug 2005 13:05:04
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 16:13:14
Passive FTP	Alex Semenyaka	25 Aug 2005 17:31:14
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 12:13:36
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 13:30:26
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 14:05:33
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 14:30:26
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 16:24:15
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 16:33:42
Passive FTP	Alex Semenyaka	25 Aug 2005 13:28:36
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 16:45:03
Passive FTP	Alex Semenyaka	25 Aug 2005 17:56:44
Re: Passive FTP	Gleb Smirnoff	24 Aug 2005 14:51:05
Re: Passive FTP	Viktor	24 Aug 2005 15:35:38
Re: Passive FTP	Gleb Smirnoff	24 Aug 2005 16:43:55
Passive FTP	Alex Semenyaka	24 Aug 2005 17:12:14
Re: Passive FTP	Andrew Filonov	24 Aug 2005 18:53:51
Passive FTP	Alex Semenyaka	24 Aug 2005 18:36:54
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 12:11:02
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 13:29:40
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 14:05:33
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 14:24:52
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 16:22:13
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 16:34:24
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 17:13:26
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 17:25:38
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 17:31:50
Re: Passive FTP	Valentin Nechayev	25 Aug 2005 15:05:35
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 15:37:41
Re: Passive FTP	Valentin Davydov	26 Aug 2005 13:23:40
Re: Passive FTP	Alexey G Misyuremko	26 Aug 2005 13:27:45
Passive FTP	Alex Semenyaka	26 Aug 2005 13:57:06
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 17:33:57
Passive FTP	Alex Semenyaka	26 Aug 2005 19:04:24
Passive FTP	Alex Semenyaka	25 Aug 2005 14:53:52
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 18:39:29
Passive FTP	Alex Semenyaka	25 Aug 2005 18:39:22
Re: Passive FTP	Alexey G Misyuremko	25 Aug 2005 20:46:56
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 22:51:28
Re: Passive FTP	Alexey G. Misyurenko	26 Aug 2005 01:44:56
Passive FTP	Slawa Olhovchenkov	26 Aug 2005 06:15:40
Passive FTP	Alex Semenyaka	26 Aug 2005 12:31:20
Passive FTP	Alex Semenyaka	26 Aug 2005 12:32:10
Passive FTP	Alex Semenyaka	25 Aug 2005 21:59:54
Re: Passive FTP	Alexey G. Misyurenko	26 Aug 2005 01:40:23
Re: Passive FTP	Mykola Dzham	26 Aug 2005 11:57:02
Passive FTP	Alex Semenyaka	26 Aug 2005 12:12:54
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 16:11:26
Passive FTP	Alex Semenyaka	26 Aug 2005 18:50:20
Passive FTP	Alex Semenyaka	25 Aug 2005 14:34:46
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 16:39:28
Passive FTP	Alex Semenyaka	25 Aug 2005 17:47:22
Passive FTP	Alex Semenyaka	24 Aug 2005 13:06:14
Re: Passive FTP	Gleb Smirnoff	24 Aug 2005 15:01:09
Re: Passive FTP	Spartak Radchenko	24 Aug 2005 16:56:18
Passive FTP	Alex Semenyaka	24 Aug 2005 16:57:42
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 12:08:29
Passive FTP	Alex Semenyaka	25 Aug 2005 13:25:56
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 17:07:47
Passive FTP	Alex Semenyaka	25 Aug 2005 18:28:52
Re: Passive FTP	Moderator of RU.UNIX.BSD	28 Aug 2005 13:41:21
Re: Passive FTP	Moderator of RU.UNIX.BSD	28 Aug 2005 13:44:52
Re: Passive FTP	Valentin Nechayev	28 Aug 2005 15:20:58
Re: Passive FTP	Andrew Filonov	29 Aug 2005 10:20:20
Re: Passive FTP	Valentin Nechayev	29 Aug 2005 12:56:51
Re: Passive FTP	Valentin Davydov	29 Aug 2005 15:56:27
Re: Passive FTP	Andrew Filonov	29 Aug 2005 18:32:50
Re: Passive FTP	Valentin Nechayev	29 Aug 2005 18:49:08
Re: Passive FTP	Andrew Filonov	29 Aug 2005 19:26:53
Re: Passive FTP	Valentin Nechayev	30 Aug 2005 16:11:12
Re: Passive FTP	Gleb Smirnoff	30 Aug 2005 17:44:09
Passive FTP	Slawa Olhovchenkov	31 Aug 2005 10:35:32
Re: Passive FTP	Andrew Filonov	31 Aug 2005 10:36:03
Re: Passive FTP	Gleb Smirnoff	31 Aug 2005 12:52:01
Passive FTP	Ilya Kulagin	24 Aug 2005 15:15:08
Re: Passive FTP	Andrew Filonov	24 Aug 2005 15:49:51
Re: Passive FTP	Viktor	24 Aug 2005 15:53:22
Re: Passive FTP	Andrew Filonov	24 Aug 2005 15:56:55
Re: Passive FTP	Viktor	24 Aug 2005 16:08:05
Re: Passive FTP	Andrew Filonov	24 Aug 2005 17:53:11
Re: Passive FTP	Viktor	24 Aug 2005 18:57:35
Re: Passive FTP	Andrew Filonov	24 Aug 2005 20:09:44
Re: Passive FTP	Gleb Smirnoff	24 Aug 2005 16:45:42
Re: Passive FTP	Mykola Dzham	25 Aug 2005 01:15:34

Архивное /ru.unix.bsd/64891d11e9de.html, оценка 2 из 5, голосов 10