On 03/31/10 10:06, Miroslav Prýmek:
Ted nevim, jestli tomu uplne dobre rozumim. Mel jsem za to, ze to funguje
takhle:
1. klient A (zevnitr site) posle z portu X na www.google.cz:80 paket SYN
2. pri pruchodu tohodle paketu firewallem se vytvori dynamicky pravidlo, ktery
povoluje
pakety TCP z www.google.cz:80 na A:X a naopak.
Za predpokladu, ze mas pravidlo popisujici pakety dle pravidla [1] s
keep-state, pak se tak skutecne stane.
Pokud to dobre chapu, pravidlo existuje po celou dobu existence spojeni a nesmi
(standardne) vypadnout driv, nez je spojeni ukonceny.
Ano, tak by to idealne melo fungovat.
Takze pokud nemam firewall postavenej tak, ze dovnitr pousti vsechny pakety
uz navazanych spojeni (a dynamicky pravidla tak jsou potreba jenom pro
handshake), staci
utocnikovi otevrit tech 8192 spojeni a zadny jiny uz se potom neotevre
(tzn. firewall dalsi spojeni zacne blokovat).
Tady ti moc nerozumim. Dynamicka pravidla se vytvari kdyz matchne rule s
keep-state (pripadne limit). Kdyz je dynamickych pravidel tolik, kolik
je maximalne dovoleno, tak se dalsi nevytvori.
Jestli to znamena to, co pises, nejsem schopen odhadnout.
Z toho by teda plynulo, ze stavovy firewall MUSI mit jako jedno z prvnich
pravidel
neco ve stylu
allow tcp any to any established
- a tohle pravidlo rozhodne musi byt DRIV nez check-state. Jinak bude fw
nachylny
k dos preplnenim tabulky dyn. pravidel.
Je to tak?
A jak to "established" pravidlo snizi pocet vytvarenych pravidel a
zeliminuje preplneni tabulky ? A k cemu tam vlastne bude ta stavova cast
firewallu, kdyz se dovnitr bude stejne spoustet cokoliv ?
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
