Re: ipfw keep-state

Thu, 19 Apr 2007 00:35:48 -0700 

Juraj Belák napsal/wrote, On 04/19/07 08:03:
> Juraj Lutter  wrote / napísal(a):
>> pytajuci sa ma za domacu ulohu zistit rozdiel medzi stateful a stateless
>> firewallom. a mozno pride aj na to, preco je NAT v ipfw taky pomaly :-)
> 
> Ak som to spravne pochopil, napriklad ftp klient
> bez keep-state nema sancu.

        No, me pripada, ze klient s aktivnimi prenosy nema sanci i s 
keep-alive. Teda, ma, ale cenou je to, ze toho musis povolit daleko vic. 
Klient s pasivnimi spojenimi - tam ti keep-alive asi nijak nepomuze. Ten 
se vyresi bez nich nebo s enevyresi ani s nimi.

        Zalezi (v obou pripadech) co se vlastne presne snazis povolit nebo 
zakazat. Pokdu je cilem "povolit vyhradne ta datova spojeni, ktera byla 
nejdrive domluvena v ramci ridiciho spojeni" tak s tohle proste 
nedokazes, at bude spojeni aktivni nebo pasivni - a at pouzijes 
keep-alive nebo ne.


        Mozna bude odpovedi na nejasnou otazku tohle - keep-alive, radeji ale 
budeme mluvit o stavovem firewallu, filtruje pakety nejen podle 
informaci obsazenych v nich samych, ale take podl enekterych informaci, 
ktere si uchoval pri zpracovani predvhozich paketu. To (tyto informace 
navic) mu dava urcite moznosti, ktere nestavovy firewall nema.

        Na druhou stranu - uchovavani techto informaci prinasi radu komplikaci. 
Napriklad aby se jich neuchovavalo moc (jejich zpracovani pak trva 
dlouho, pokdu to dokonce nedojde tak daleko, ze uplne dojde pamet). 
Takze je potreba nekdy informaci neuchovavat a nekdy je treba informace 
mazat. A mazani prinasi zase sve vlastni problemy - ktere informace lze 
beztrestne neuchovat a kdy lze uchovanou informaci smazat. Neprijata 
nebo preilis brzo smazana informace ve firewallu, ktery je vystaven tak, 
ze je na techto informacich zavisly zpusobi nezadouci zablokovani 
nekterych spojeni. Nektere problemy s mazanim lze zase nejak zkusit 
resit (treba keep-alive), ale to nejde vzdycky (ne vsechna prenasena 
data jsou TCP).

        Proste, stavovy firewall ma nejake vlasnosti a ty jsou v konrektni 
situaci nektere vyhodne a jine nevyhodne. A ty si ve svem konkretnim 
pripade musis sam rozhodnout ktera je ktera a zda je nakonec tech vyhod 
vic nez nevyhod a podle toho se rozhodnout ...

                                                Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz


-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem