Firewall

Dan Lukes dan at obluda.cz
Sat Feb 21 22:07:33 CET 2004


Zbynek Houska wrote:

>>	To, jestli je to optimalni stav by byl namet na peknou flame. Ja
>>osobne nemam stavovost ipfw rad, protoze ji lze velmi snadni zneuzit k DoS
>>utokum na chraneny stroj a dokonce i kdyz nikdo neutoci, pravidel muze byt
>>(v dynamicke casti) pomerne mnoho a vyssi pocet ruli se okamzite promita do
>>snizene pruchodnosti stroje (ale mozna pri zatizeni jake tam nas ty je to
>>fuk).
> 
> Tak tohle by mne opravdu zajimalo. Nechci vyvolat zadnou flame :-)
> Takze redeji zadne check state rule v ipfw?

	Kazdy spravce, ktery se musi starat o zabezpeceni site am trochu jien 
zkusenosti, jine oblibene postupy a, zejmena, jine nocni mury.

	Urcite se najde zkuseny spravce, ktery bude presvedcen, ze dynamicke 
rule jsou vetsinou mensi nebezpeci a riziko nez diry, ktere je nutne 
"volne otevrit" v firewallu bezestavovem.

	Ja mam vetsinou nazor obraceny. Chran panbu, abych tvrdil, ze ten druhy 
nazor je spatny. Me jen pripada horsi.

	Krome toho, tuto uvahu je stejne nutne provest vzdy v konkretni situaci 
znovu. Asi existuji situace, kdy by me stavovy filtr pripadal lepsi - i 
kdyz me ted zrovna zadna pekna nenapada ...

	No - a jaky nazor budete vetsinou mit vy -  to si musite rozhodnout sam 
... ;-)

						Dan




More information about the Users-l mailing list