On 30.3.2010, at 14:52, Dan Lukes wrote:

> Rozhodnout s emusis sam - tohle je o mire paranoie (a taky o jejim typu) a to 
> je ciste individualni zalezitost. Ja se vic bojim, ze mi sikovne organizovany 
> utok an stavovy firewall sit znefunkcni nez ze mi nekdo nejakym nevhodnym 
> paketem rozstreli chraneny pocitac uvnitr.

Jen tak naokraj bych si chtel overit, ze vim, o cem je rec :)

1. kdyz se mluvi o stateless firewallu, znamena to prakticky proste, ze u 
pravidel neni uvedeno "keep-state", nebo
   jeste neco navic (jsou i jine dynamicke tabulky, ktere musim vzit v uvahu - 
ktere muzou byt tercem ddos)?

2. kdyz mam na okraji nejake site stateless firewall, znamena to, ze bud A] 
musim z vnitrni site ven pristupovat
   vzdy pres nejakou moji proxy nebo B] pocitace ve vnitrni siti v podstate 
nemuzu timhle FW chranit? 

   Priklad: pocitac A ve vnitrni siti se pripoji z portu XYZ na 
www.google.cz:80, www.google.cz posle
   odpoved z portu 80 na A:XYZ -> na fw musi byt povolen pristup Z VENKU na 
vsechny (dejme tomu neprivilegovane) porty
   A.

   (samozrejme otazka je, jaky smysl ma ochrana neprivilegovanych portu 
pocitacu ve vnitrni siti...)

3. mam-li na rozhrani site NAT a v siti uzivatele, kterym neverim, tak muzu 
klidne pouzit statefull, protoze
   kdyz bude uzivatel chtit, stejne mi muze zahltit NAT (akorat to nemuze tak 
lehce udelat distribuovane, protoze
   to musi udelat zevnitr)?

   Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna (napr. 
typicky je potreba otevrit
   10000/100k/1M spojeni)? (tim chci rict, kdyz jde treba o tu tady zminenou 
sit sesti set neduveryhodnych pocitacu,
   je realne, ze by nekdo provedl dos na NAT, nebo k tomu potrebuje vic 
pocitacu?)

4. mozna by stalo za zminku, ze stateless FW muze byt rychlejsi - znovu, 
existuji nejake kvalifikovane odhady rozdilu 
   nebo tak neco (best practices apod.)?

diky

Mirek
-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem