On 03/30/10 23:26, Miroslav Prýmek:
Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna
Pokud mas dostatek pameti ... tak neni nebezpecna nikdy.
To jsem prave myslel jako tu otazku - jestli nekdo nekde nevidel nejaky konkretni
priklad "na zeleze XY s YZ RAM stacilo
otevrit ZX spojeni, aby se server efektivne zhroutil kvuli swapovani".
Nepripada v uvahu. Firewally jsou bez vyjimky kernelove moduly a
kernelova pamet se nikdy neswapuje, pokud vim.
Jenze pamet neni to an cem dojes. Napriklad ipfw v defaultnim nastaveni
ma omezen pocet dynamickych pravidel na 8192, pricemz zivotnost
dynamickeho pravidla se udava ve vterinach. I kdyby slo o jedinou, tak
ten, kdo je vubec schopen zpusobit vytvoreni dynamickeho pravidla musi
byt schopen ukon zopakovat osm tisickrat za vterinu.
To je dostupne i cloveku s notebookem za ADSL linkou. A v tomto pripade
neplati, ze nova pravidla vytlaci stara - kdyz je limit zaplnen tak nova
pravidla proste nevznikaji.
Nicmene, hodne zalezi jak presne mas firewall vystaven a kdo tedy a za
jakych okolnosti muze zpusobit vytvoreni takove dynamicke rule.
Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o dva rady
vetsim, poctem pravidel budou vsechny tyto pakety prochazet me zas az tak moc
nelaka. Pohybuju se v tomto konkretnim pripade na hrane toho, co PC router
vubec zvlada a prestoze nemam vycisleno jak hodne by ho to zpomalilo, ze by ho
to zpomalilo je jasne ...
Tady by me taky zajimaly nejaky konkretni testy
To budes muset hledat sam. Ja nejake videl uz pred tolika lety, ze uz si
ani nepamatuju kde. To, ze o stavovy firewall moc nestojim je dojem,
ktery jsem si tehdy odnesl, ale presne udaje ani odkaz na zdroje uz nemam.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
