Juraj Belák napsal/wrote, On 04/18/07 21:06:
> Nie je mi jasny zmysel "expire after SOME TIME, which depends on the
> STATUS OF FLOW"
A cemu konkretneji na tom nerozumis ? Proste zaznam pro spojeni ve
stavu "established" expiruje za jinak dlouhou dobu nez spojeni ve stavu
"fin-wait".
> Podla coho (a ci vobec) treba menit default hodnotu
> /net.inet.ip.dummynet.hash_size 64.
Bude tezke poradit. Schazi nam klicova informace - ceho se snazis
dosahnout, nebo, mozna jinak, co te vede vubec k myslence, ze bys mel
nejake hodnoty menit.
Tyhle defaultni hodnoty jsou zvoleny tak, ze obvykle vyhovuji pro
"bezna" pouziti. Ano, pokud je tve pouziti "nebezne", pak muze byt treba
nejakou zmenit - ale musi byt jasne v jakem smyslu je konkretni provoz
nebezny.
Z manualu, ale ten's cetl:
--------------
net.inet.ip.dummynet.hash_size: 64
Default size of the hash table used for dynamic pipes/queues.
This value is used when no buckets option is specified when con-
figuring a pipe/queue.
--------------
Zkus mozna nejak preformulovat otazku. Podle toho, ze nikdo nereaguje
se zda, ze ostatni, stejne jako ja, take nedesifrovali na co se ptas.
> Dalsia vec, v ktorej nemam jasno je "...periodically send keepalive
> packets to refresh the state..."
>
> Mam z toho dojem, ze pri dynamickych rules vznika traffic "naviac".
Zcela spravne:
-----------
net.inet.ip.fw.dyn_keepalive: 1
Enables generation of keepalive packets for keep-state rules on
TCP sessions. A keepalive is generated to both sides of the con-
nection every 5 seconds for the last 20 seconds of the lifetime
of the rule.
-----------
> Preto by som rad vedel, cim je (ak je) v praxi opodstatnene pouzivanie
> keep-state pravidiel
No, moznosti jsou dve - bud' rozumis tomu, jak dynamicka pravidla
funguji, ale nevidis v tom zadnou podstatnou a pouzitelnou vyhodu - v
takovem pripade v tve situaci neni pouzivani keep-state pravidel
opodstatnene. Nikde neni receno, ze "kazdy slusny firewall pouziva
keep-state". V nekterych situacich je firewall bez keep-state jako
cokoladovy dort bez horcice - nikomu tam nechybi. Ja nemam keep-state
naprosto v zadnem firewallu - coz na druhou stranu neznamena, ze ty z
troho muzes usoudit, ze je zbytecny.
Druha moznost je, ze systemu dynamickych ruli nerozumis, takze nevidis
jeho vlastnosti a tak proti zrejmym nevyhodam (napr. traffic navic)
nemuzes postavit to, co to prinasi a nasledne porovnat, jestli v tvem
pripade nevyhody prevazuji vyhody ci naopak. Je to tenhle pripad ?
Urcite tu tohle muzeme probrat a vysvetlit, jen se mi to nechce
rozepisovat zbytecne, pokud nejsi v tehle situaci.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
