> ------------ Původní zpráva ------------
> Od: Miroslav Prýmek <m.pry...@gmail.com>
> Předmět: Re: firewall (ipfw: static, stateful)
> Datum: 31.3.2010 16:08:57
> ----------------------------------------
>
> On 31.3.2010, at 15:44, Dan Lukes wrote:
>
> >
> >> Takze pokud nemam firewall postavenej tak, ze dovnitr pousti vsechny pakety
> >> uz navazanych spojeni (a dynamicky pravidla tak jsou potreba jenom pro
> handshake), staci
> >> utocnikovi otevrit tech 8192 spojeni a zadny jiny uz se potom neotevre
> >> (tzn. firewall dalsi spojeni zacne blokovat).
> >
> > Tady ti moc nerozumim. Dynamicka pravidla se vytvari kdyz matchne rule s
> keep-state (pripadne limit). Kdyz je dynamickych pravidel tolik, kolik je
> maximalne dovoleno, tak se dalsi nevytvori.
> >
> > Jestli to znamena to, co pises, nejsem schopen odhadnout.
> >
>
> Myslel jsem to takhle: kdybych mel fw, ktery ven pousti neco (s keep-state) a
> dovnitr nic (tedy jen pomoci
> "check-state" dovnitr pusti pakety patrici k sessions, ktere byly navazany
> zevnitr), tak
> utocnikovi bude jednoduse stacit otevrit zevnitr ven 8192 spojeni a nikdo
> jinej
> uz zadny jiny neotevre, ne?
>
Zdravim, mozna jste to uz resily, ale pokud se jedna o utok zevnitr, tak je
vetsinou z jednoho pocitace (jedne IP). Takze staci nastavit limit. Neco jako
# ipfw add allow tcp from any to any via ${IF} in dst-port 80 setup limit
src-addr 50
Michal
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
