ipfw keep-state

Dan Lukes dan at obluda.cz
Wed Apr 18 20:30:10 CEST 2007

Previous message: ipfw keep-state
Next message: ipfw keep-state
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Juraj Belák wrote:
> Aky je prakticky rozdiel (vzhladom na traffic) medzi

> ipfw add allow tcp from me to any 1000 keep-state

> a

> ipfw add allow tcp from me to any 1000
> ipfw add allow tcp from any 1000 to me

	Nejsem si tak uplne jist na co se ptas. Druhy zpusob dovoli jakemukoliv 
stroji na svete poslat z portu 1000 TCP paket na jakykoliv tvuj port. 
Prvni to neumoznuje dokud jsi nejprve danym smerem nepromluvil ven.

	Presto se obvykle dynamickym rulim vyhybam, i kdyz v tomto konkretnim 
pripade (pokud pomineme, ze vidim jen maly fragment konfigurace) pro to 
neni realny duvod.


	Talze, ja bych pouzil druhy zpusob, ale trochu jinak - velko vadou 
tveho reseni je, ze z portu 1000 muze kdokoliv navazat spojeni s 
jakoukoliv sluzbou na danem stroji. Ja bych patrne pouzil:

ipfw add allow tcp from me to any 1000 setup
ipfw add allow tcp from any 1000 to me established

					Dan

Previous message: ipfw keep-state
Next message: ipfw keep-state
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list