ipfw keep-state
Dan Lukes
dan at obluda.cz
Thu Apr 19 09:35:22 CEST 2007
Juraj Belák napsal/wrote, On 04/19/07 08:03:
> Juraj Lutter wrote / napísal(a):
>> pytajuci sa ma za domacu ulohu zistit rozdiel medzi stateful a stateless
>> firewallom. a mozno pride aj na to, preco je NAT v ipfw taky pomaly :-)
>
> Ak som to spravne pochopil, napriklad ftp klient
> bez keep-state nema sancu.
No, me pripada, ze klient s aktivnimi prenosy nema sanci i s
keep-alive. Teda, ma, ale cenou je to, ze toho musis povolit daleko vic.
Klient s pasivnimi spojenimi - tam ti keep-alive asi nijak nepomuze. Ten
se vyresi bez nich nebo s enevyresi ani s nimi.
Zalezi (v obou pripadech) co se vlastne presne snazis povolit nebo
zakazat. Pokdu je cilem "povolit vyhradne ta datova spojeni, ktera byla
nejdrive domluvena v ramci ridiciho spojeni" tak s tohle proste
nedokazes, at bude spojeni aktivni nebo pasivni - a at pouzijes
keep-alive nebo ne.
Mozna bude odpovedi na nejasnou otazku tohle - keep-alive, radeji ale
budeme mluvit o stavovem firewallu, filtruje pakety nejen podle
informaci obsazenych v nich samych, ale take podl enekterych informaci,
ktere si uchoval pri zpracovani predvhozich paketu. To (tyto informace
navic) mu dava urcite moznosti, ktere nestavovy firewall nema.
Na druhou stranu - uchovavani techto informaci prinasi radu komplikaci.
Napriklad aby se jich neuchovavalo moc (jejich zpracovani pak trva
dlouho, pokdu to dokonce nedojde tak daleko, ze uplne dojde pamet).
Takze je potreba nekdy informaci neuchovavat a nekdy je treba informace
mazat. A mazani prinasi zase sve vlastni problemy - ktere informace lze
beztrestne neuchovat a kdy lze uchovanou informaci smazat. Neprijata
nebo preilis brzo smazana informace ve firewallu, ktery je vystaven tak,
ze je na techto informacich zavisly zpusobi nezadouci zablokovani
nekterych spojeni. Nektere problemy s mazanim lze zase nejak zkusit
resit (treba keep-alive), ale to nejde vzdycky (ne vsechna prenasena
data jsou TCP).
Proste, stavovy firewall ma nejake vlasnosti a ty jsou v konrektni
situaci nektere vyhodne a jine nevyhodne. A ty si ve svem konkretnim
pripade musis sam rozhodnout ktera je ktera a zda je nakonec tech vyhod
vic nez nevyhod a podle toho se rozhodnout ...
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list