On 03/31/10 16:07, Miroslav Prýmek:
Myslel jsem to takhle: kdybych mel fw, ktery ven pousti neco (s keep-state) a
dovnitr nic (tedy jen pomoci
"check-state" dovnitr pusti pakety patrici k sessions, ktere byly navazany
zevnitr), tak
utocnikovi bude jednoduse stacit otevrit zevnitr ven 8192 spojeni a nikdo jinej
uz zadny jiny neotevre, ne?
Jo.
Teda, jen takhle to nakonec ve finale mit nemuzes, jeste tam budes muset
resit ICMP, ale zhruba tak jak's to popsal to bude fungovat.
A co se tyce nekym jinym zmineneho "bude utocit z jedne IP a tak to lze
limitovat poctem spojeni na IP" - hloupy utocnik mozna. Ale odeslani
odchoziho SYN paketu s libovolnou zdrojovou IP je velmi trivialni ukon.
Na druhou steranu je pravda, ze na male siti 256 adresami mame 32
spojeni na IP, coz je spis dostatecne a tak vhodne zvoleny limit pomoci
muze.
To ale znamena jen tolik, ze nenarazime na defaultni limit 8192 polozek
dynamickeho firewallu - utocnik se misto toho proste jen zameri na
vycerpani "per IP" limitu spojeni a sit zablokuje uplne stejne
spolehlive ...
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
