Juraj Belák wrote:
> Aky je prakticky rozdiel (vzhladom na traffic) medzi
> ipfw add allow tcp from me to any 1000 keep-state
> a
> ipfw add allow tcp from me to any 1000
> ipfw add allow tcp from any 1000 to me
Nejsem si tak uplne jist na co se ptas. Druhy zpusob dovoli jakemukoliv
stroji na svete poslat z portu 1000 TCP paket na jakykoliv tvuj port.
Prvni to neumoznuje dokud jsi nejprve danym smerem nepromluvil ven.
Presto se obvykle dynamickym rulim vyhybam, i kdyz v tomto konkretnim
pripade (pokud pomineme, ze vidim jen maly fragment konfigurace) pro to
neni realny duvod.
Talze, ja bych pouzil druhy zpusob, ale trochu jinak - velko vadou
tveho reseni je, ze z portu 1000 muze kdokoliv navazat spojeni s
jakoukoliv sluzbou na danem stroji. Ja bych patrne pouzil:
ipfw add allow tcp from me to any 1000 setup
ipfw add allow tcp from any 1000 to me established
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
