ipfw keep-state

Juraj Belák giobsd at gmail.com
Thu Apr 19 10:26:14 CEST 2007

Previous message: ipfw keep-state
Next message: ipfw keep-state
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Dan Lukes  wrote / napísal(a):
> 	A cemu konkretneji na tom nerozumis ? Proste zaznam pro spojeni ve 
> stavu "established" expiruje za jinak dlouhou dobu nez spojeni ve stavu 
> "fin-wait".
Vrta mi v hlave prave ta "jinak dlouha doba". Povedzme, ze teoreticky
mi cez firewall prechadzaju pakety z par stovak klientov - moze nastat
pripad, ze mi zostane visiet naraz tolko otvorenych spojeni aj zasluhou
dynamickych rules, ze firewall potrebuje taku dlhu dobu na spracovanie
paketov, ze na vstupe sa zahlti?

>> Podla coho (a ci vobec) treba menit default hodnotu 
>> /net.inet.ip.dummynet.hash_size 64.
> 
> 	Bude tezke poradit. Schazi nam klicova informace - ceho se snazis 
> dosahnout, nebo, mozna jinak, co te vede vubec k myslence, ze bys mel 
> nejake hodnoty menit.
Detto ako vyssie. Ma zmysel predchadzat (teoretickemu?) zahlteniu 
firewallu napriklad tym, ze nepouzijem dynamicke rules, alebo
traffic, ktory vznika pri keep-state je taky zanedbatelny, ze
nema zmysel dalej nad tym uvazovat.

>> Preto by som rad vedel, cim je (ak je) v praxi opodstatnene pouzivanie 
>> keep-state pravidiel
> 
> 	No, moznosti jsou dve - bud' rozumis tomu, jak dynamicka pravidla 
> funguji, ale nevidis v tom zadnou podstatnou a pouzitelnou vyhodu - v 
> takovem pripade v tve situaci neni pouzivani keep-state pravidel 
> opodstatnene.
Dakujem, Takto som mal formulovat prvu otazku.

Previous message: ipfw keep-state
Next message: ipfw keep-state
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list