ipfw keep-state

Dan Lukes dan at obluda.cz
Thu Apr 19 09:22:46 CEST 2007

Previous message: ipfw keep-state
Next message: ipfw keep-state
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Juraj Belák napsal/wrote, On 04/18/07 21:06:
> Nie je mi jasny zmysel "expire after SOME TIME, which depends on the 
> STATUS OF FLOW"

	A cemu konkretneji na tom nerozumis ? Proste zaznam pro spojeni ve 
stavu "established" expiruje za jinak dlouhou dobu nez spojeni ve stavu 
"fin-wait".

> Podla coho (a ci vobec) treba menit default hodnotu 
> /net.inet.ip.dummynet.hash_size 64.

	Bude tezke poradit. Schazi nam klicova informace - ceho se snazis 
dosahnout, nebo, mozna jinak, co te vede vubec k myslence, ze bys mel 
nejake hodnoty menit.

	Tyhle defaultni hodnoty jsou zvoleny tak, ze obvykle vyhovuji pro 
"bezna" pouziti. Ano, pokud je tve pouziti "nebezne", pak muze byt treba 
nejakou zmenit - ale musi byt jasne v jakem smyslu je konkretni provoz 
nebezny.

	Z manualu, ale ten's cetl:

  --------------
net.inet.ip.dummynet.hash_size: 64
     Default size of the hash table used for dynamic pipes/queues.
     This value is used when no buckets option is specified when con-
     figuring a pipe/queue.
  --------------

	Zkus mozna nejak preformulovat otazku. Podle toho, ze nikdo nereaguje 
se zda, ze ostatni, stejne jako ja, take nedesifrovali na co se ptas.

> Dalsia vec, v ktorej nemam jasno je "...periodically send keepalive 
> packets to refresh the state..."
> 
> Mam z toho dojem, ze pri dynamickych rules vznika traffic "naviac".

  Zcela spravne:

  -----------
net.inet.ip.fw.dyn_keepalive: 1
   Enables generation of keepalive packets for keep-state rules on
   TCP sessions.  A keepalive is generated to both sides of the con-
   nection every 5 seconds for the last 20 seconds of the lifetime
   of the rule.
  -----------

> Preto by som rad vedel, cim je (ak je) v praxi opodstatnene pouzivanie 
> keep-state pravidiel

	No, moznosti jsou dve - bud' rozumis tomu, jak dynamicka pravidla 
funguji, ale nevidis v tom zadnou podstatnou a pouzitelnou vyhodu - v 
takovem pripade v tve situaci neni pouzivani keep-state pravidel 
opodstatnene. Nikde neni receno, ze "kazdy slusny firewall pouziva 
keep-state". V nekterych situacich je firewall bez keep-state jako 
cokoladovy dort bez horcice - nikomu tam nechybi. Ja nemam keep-state 
naprosto v zadnem firewallu - coz na druhou stranu neznamena, ze ty z 
troho muzes usoudit, ze je zbytecny.

	Druha moznost je, ze systemu dynamickych ruli nerozumis, takze nevidis 
jeho vlastnosti a tak proti zrejmym nevyhodam (napr. traffic navic) 
nemuzes postavit to, co to prinasi a nasledne porovnat, jestli v tvem 
pripade nevyhody prevazuji vyhody ci naopak. Je to tenhle pripad ? 
Urcite tu tohle muzeme probrat a vysvetlit, jen se mi to nechce 
rozepisovat zbytecne, pokud nejsi v tehle situaci.

					Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz

Previous message: ipfw keep-state
Next message: ipfw keep-state
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list