On 31.3.2010, at 15:44, Dan Lukes wrote: > >> Takze pokud nemam firewall postavenej tak, ze dovnitr pousti vsechny pakety >> uz navazanych spojeni (a dynamicky pravidla tak jsou potreba jenom pro >> handshake), staci >> utocnikovi otevrit tech 8192 spojeni a zadny jiny uz se potom neotevre >> (tzn. firewall dalsi spojeni zacne blokovat). > > Tady ti moc nerozumim. Dynamicka pravidla se vytvari kdyz matchne rule s > keep-state (pripadne limit). Kdyz je dynamickych pravidel tolik, kolik je > maximalne dovoleno, tak se dalsi nevytvori. > > Jestli to znamena to, co pises, nejsem schopen odhadnout. >
Myslel jsem to takhle: kdybych mel fw, ktery ven pousti neco (s keep-state) a dovnitr nic (tedy jen pomoci "check-state" dovnitr pusti pakety patrici k sessions, ktere byly navazany zevnitr), tak utocnikovi bude jednoduse stacit otevrit zevnitr ven 8192 spojeni a nikdo jinej uz zadny jiny neotevre, ne? > A jak to "established" pravidlo snizi pocet vytvarenych pravidel a > zeliminuje preplneni tabulky ? > A k cemu tam vlastne bude ta stavova cast firewallu, kdyz se dovnitr bude > stejne spoustet cokoliv ? Beru zpatky, sorry :) M. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
