ipfw keep-state timeout

[Dan Lukes]

Jan Stary wrote:

> Vetsina dotazu se do toho vejde. Narazil jsem na to pri jednorazovem
> resolvovani vsech adres z apache.log, kdy nektere dotazy sly dost
> daleko, a ipfw zacal odmitat (zpozdene) odpovedi.

	Musim rict, ze jsem se s dynamickymi rulemi a DNS taky trochu popral. 
Jenze, krome toho, ze vlastne neexistoval vhodny kompromis mezi ruznymi 
pozadavky na nastaveni (tech DNS dotazu mame pomerne dost, takze 
pravidel zacalo byt docela hodne, coz melo zretelny vliv na pruchodnost 
firewallu), nakonec jsem zvolil uplne jine reseni, ktere si troufam vam 
nabidnout.

	Smysl ma ale jen tehdy, pokud mate v okoli nejaky autoritativni 
nameserver obsluhujici nejakou domenu, ktery muzete pouzit.

	Na takovy nameserver stejne musite dovolit chodit DNS dotazum z celeho 
sveta. Nechate pak uzivatele jako resolver pouzivat ten (nebo na 
firewallu nebo kde mate dosavadni resolver pro uzivatele nastavite 
forward vsech dotazu na takovy server) - a na firewallu povolite DNS 
komunikaci pouze na tento server.

	Moje zkusenost je, ze zpozdeni zpusobene forwardingem je zanedbatelne. 
Usetrite ale celou saradu okolo dynamickych ruli, nastavovanim doby 
jejich vyprseni, ochranou pred DoS utokem zalozenym na vytvoreni 
ohromneho poctu takovych ruli - a v neposledni rade- tim, ze budete mit 
ve firewallu malo pravidel se vam zvysi pruchodnost.

	Podotykam, ze vim, ze tato metoda nemusi byt vhodna a pouzitelan vzdy a 
vsude. Ja vam ji taky nenutim - jen nabizim jako mozne alternativni 
reseni, ktere se mi uz nekolikrat plen osvedcilo (ja mam ale vetsinou v 
okoli nejaky ten vhodny nameserver). Vybrat si, samozrejme, musite sam.


							Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz