ipfw keep-state timeout
Dan Lukes
dan at obluda.cz
Thu Apr 22 17:28:55 CEST 2004
Jan Stary wrote:
> Vetsina dotazu se do toho vejde. Narazil jsem na to pri jednorazovem
> resolvovani vsech adres z apache.log, kdy nektere dotazy sly dost
> daleko, a ipfw zacal odmitat (zpozdene) odpovedi.
Musim rict, ze jsem se s dynamickymi rulemi a DNS taky trochu popral.
Jenze, krome toho, ze vlastne neexistoval vhodny kompromis mezi ruznymi
pozadavky na nastaveni (tech DNS dotazu mame pomerne dost, takze
pravidel zacalo byt docela hodne, coz melo zretelny vliv na pruchodnost
firewallu), nakonec jsem zvolil uplne jine reseni, ktere si troufam vam
nabidnout.
Smysl ma ale jen tehdy, pokud mate v okoli nejaky autoritativni
nameserver obsluhujici nejakou domenu, ktery muzete pouzit.
Na takovy nameserver stejne musite dovolit chodit DNS dotazum z celeho
sveta. Nechate pak uzivatele jako resolver pouzivat ten (nebo na
firewallu nebo kde mate dosavadni resolver pro uzivatele nastavite
forward vsech dotazu na takovy server) - a na firewallu povolite DNS
komunikaci pouze na tento server.
Moje zkusenost je, ze zpozdeni zpusobene forwardingem je zanedbatelne.
Usetrite ale celou saradu okolo dynamickych ruli, nastavovanim doby
jejich vyprseni, ochranou pred DoS utokem zalozenym na vytvoreni
ohromneho poctu takovych ruli - a v neposledni rade- tim, ze budete mit
ve firewallu malo pravidel se vam zvysi pruchodnost.
Podotykam, ze vim, ze tato metoda nemusi byt vhodna a pouzitelan vzdy a
vsude. Ja vam ji taky nenutim - jen nabizim jako mozne alternativni
reseni, ktere se mi uz nekolikrat plen osvedcilo (ja mam ale vetsinou v
okoli nejaky ten vhodny nameserver). Vybrat si, samozrejme, musite sam.
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list