ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Viktor                               2:5020/400     24 Aug 2005  17:31:19
 To : Eugene Grosbein
 Subject : Re: Passive FTP
 -------------------------------------------------------------------------------- 
 

 Hi, Eugene!
 
 Eugene Grosbein пишет:
 
 > 24 авг 2005, среда, в 15:08 KRAST, Viktor написал(а):
 > 
 >  >>  Hу и зачем там keep state? Типа круто?
 >  V> Hа случай взлома из мира машины находящейся DMZ, для ограничения
 >  V> возможности проникнуть из DMZ в локальную сеть предприятия. Ибо
 >  V> пропускаться внутрь локальной сети будут только пакеты с keep state,
 >  V> инициированными из локальной сети.
 > 
 > Hе, а keep state-то зачем?
 
 Я постараюсь подробнее описать мое понимание того, для чего может быть
 полезен keep state, а вы расскажите как, в свою очередь, сами видите
 правильное построение фильтра в этих услових.
 
 WORLD <-> PF_1 <-> DMZ <-> PF_2 <-> LAN
 
 Выше я писал про PF_2, а имел в виду (вкратце) следующее:
 block all
 pass in on $int_if from $int_if:network to $dmz keep state
 (Hе указаны допустимые для обращения порты в DMZ)
 
 Ответные пакеты из DMZ для LAN, а так-же пакеты из LAN для DMZ, будут
 проверяться на принадлежность уже установленной TCP сессии, и в случае
 обнаружения принадлежности будут пропускаться без дальнейшей проверки
 оставшимися правилами фильтра. Фильтр будет следить за ACK/SEQ числами в
 загoловках пакетов и будет пропускать только коppектные пакеты.
 
 -- 
 WBR, Viktor
 
 --- ifmail v.2.15dev5.3
  * Origin: AAA Intersvyaz (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор