Dan Lukes wrote / napísal(a): > A cemu konkretneji na tom nerozumis ? Proste zaznam pro spojeni ve > stavu "established" expiruje za jinak dlouhou dobu nez spojeni ve stavu > "fin-wait". Vrta mi v hlave prave ta "jinak dlouha doba". Povedzme, ze teoreticky mi cez firewall prechadzaju pakety z par stovak klientov - moze nastat pripad, ze mi zostane visiet naraz tolko otvorenych spojeni aj zasluhou dynamickych rules, ze firewall potrebuje taku dlhu dobu na spracovanie paketov, ze na vstupe sa zahlti?
>> Podla coho (a ci vobec) treba menit default hodnotu >> /net.inet.ip.dummynet.hash_size 64. > > Bude tezke poradit. Schazi nam klicova informace - ceho se snazis > dosahnout, nebo, mozna jinak, co te vede vubec k myslence, ze bys mel > nejake hodnoty menit. Detto ako vyssie. Ma zmysel predchadzat (teoretickemu?) zahlteniu firewallu napriklad tym, ze nepouzijem dynamicke rules, alebo traffic, ktory vznika pri keep-state je taky zanedbatelny, ze nema zmysel dalej nad tym uvazovat. >> Preto by som rad vedel, cim je (ak je) v praxi opodstatnene pouzivanie >> keep-state pravidiel > > No, moznosti jsou dve - bud' rozumis tomu, jak dynamicka pravidla > funguji, ale nevidis v tom zadnou podstatnou a pouzitelnou vyhodu - v > takovem pripade v tve situaci neni pouzivani keep-state pravidel > opodstatnene. Dakujem, Takto som mal formulovat prvu otazku. Juraj -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
